как заблокировать transmission (p2p)
-
pfsense2.1.2. Создаю правило в floating для всех или для alias, в layer7 выставляю p2p. В итоге блокируется только программы bittorent и utorrent, трафик с программ zona и transmission проходит. Как быть?
-
Создайте правила на основе портов, а не на L7.
TCP\UDP с 1024 по 65535. -
:-\ самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск! Научить layer7, а именно p2p сигнатуры определять трафик transmission можно? Или есть альтернативные варианты?
-
Ну ребят, подскажите) вопрос щепятильный.
Нашел недавнию тему, в ней Anzak84 писал что можно самому написать сигнатуру типа:Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает! Файл: nano block_torrent.pat # Protocol name block_torrent # Pattern ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*$Но я не совсем понимаю, что именно он блокируют, то ли за ведома указанный трафик данных вендоров, толи запросы с данными словами.
-
В pfsense есть некий системный файлик в котором содержатся поддерживаемые сигнатуры. Думаю его можно найти и дополнить своими данными. Но для этого необходимо иметь нужные сигнатуры. Возможно их знает гугл.
ЗЫ Файлик не помню уже где, но был 100%
-
обязательно отпишусь о своих поисках и дальнейших наработках. Если есть еще мнения, делитесь.
-
самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск!
Мой вам совет - используйте WebDAV с Я.Диском - задействуется всего один порт - 443\TCP. Плюс легко мапится как сетевой диск в Win.
Далее , p2p активно использует UDP-протокол - большинство web-сервисов - TCP (даже на нестандартных портах).Я не думаю, что вы используете 100500 ресурсов, для к-тых нет возможности чуть подумать и вручную написать необходимые правила в fw. Остальное же просто не открывать.
Так что мой вариант далеко не самый худший. Если подумать, конечно.
-
Ну ребят, подскажите) вопрос щепятильный.
Нашел недавнию тему, в ней Anzak84 писал что можно самому написать сигнатуру типа:Положи файл block_torrent в /usr/local/share/protocols и создай правило. Работает! Файл: nano block_torrent.pat # Protocol name block_torrent # Pattern ^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*$Но я не совсем понимаю, что именно он блокируют, то ли за ведома указанный трафик данных вендоров, толи запросы с данными словами.
Этот pattern-файл - сигнатуры зарубежных торрент-трекеров, При желании его можно дополнить нужными трекерами. При его задействовании торрент-клиенты не смогут работать только с перечисленными трекерами. Однако в битторрент есть возможность работать (читай - скачивать) напрямую с пирами. Например - так:
http://ru.wikipedia.org/wiki/%D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D1%91%D0%BD%D0%BD%D0%B0%D1%8F_%D1%85%D0%B5%D1%88-%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0
То есть задействование этого паттерна практически никак не повлияет на собственно торрент-трафик вашей сети а лишь усложнит пользователям скачивание файлов .torrent с заблокированных трекеров.Но они быстро освоят magnet-ссылки.
http://youpk.ru/magnet-ssylki/ -
А конечная цель блокировать или разгрузить канал? Если последнее то альтернатива - в виде настройки шейпера на приоритизацию только НУЖНОГО траффика, а весь остальной гнать в очередь, сделать её большой, если памяти хватает.
-
@w0w:
А конечная цель блокировать или разгрузить канал? Если последнее то альтернатива - в виде настройки шейпера на приоритизацию только НУЖНОГО траффика, а весь остальной гнать в очередь, сделать её большой, если памяти хватает.
Очереди с приоритизацией настроил сразу, замечательная вещь. Требуется заблокировать p2p. Сейчас изучаю вариант с анализом трафика(подозрения…зря). Скорее всего буду блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.
p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense -
блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.
Вы про магнет-ссылки слышали ? При этом никакого торрент-файла не загружается.
Пример ресурса поиска по DHT и скачивания по магнет - http://btdigg.org/ -
самый плохой вариант, если блокировать все динамические порты, то заблокируются многие ддругие сервисы, к примеру яндекс.диск!
Мой вам совет - используйте WebDAV с Я.Диском - задействуется всего один порт - 443\TCP. Плюс легко мапится как сетевой диск в Win.
Далее , p2p активно использует UDP-протокол - большинство web-сервисов - TCP (даже на нестандартных портах).Я не думаю, что вы используете 100500 ресурсов, для к-тых нет возможности чуть подумать и вручную написать необходимые правила в fw. Остальное же просто не открывать.
Так что мой вариант далеко не самый худший. Если подумать, конечно.
Я понимаю вас и согласился бы имея схему сети на 2-5пк, но пару моментов.
Во первых: Так и получится 100500, посчитать минимум, на орг ~500пк. исключить все не получится, полюбому, ибо динамические порты используют очень много сервисов и программ, то что я привел пример с яндексом, это не панацея, многочисленные программы контрагентов(клиент банки, сервисы для организации доступа того или иного, их политики по частой смене портов). Во вторых: Менталитет пользователей, объяснять не буду. -
блокировать трекеры с запретом загрузки *.torrent и тд, спасибо pigbrother.
Вы про магнет-ссылки слышали ? При этом никакого торрент-файла не загружается.
Пример ресурса поиска по DHT и скачивания по магнет - http://btdigg.org/И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.
-
И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.
А можно эти порты не дропать, а ограничить по ним скорость?
-
@fvf:
И опять мы идем к tcp\udp block 1024-65535. Как писал выше, посмотрим что даст анализ трафика.
А можно эти порты не дропать, а ограничить по ним скорость?
Была тема по ограничению торрентов.
Смысл в том, чтобы загнать весь прочий трафик в медленную очередь, а основному (известные полезные протоколы) предоставить нормальную скорость.
Посмотрите в FAQ и поиском по русской ветке. -
Смысл в том, чтобы загнать весь прочий трафик в медленную очередь, а основному (известные полезные протоколы) предоставить нормальную скорость.
Это делается с помощью стандартного Shaper Wizard + небольшое допиливание после того, как мастер отработает.
Ну и про Reset States не забываем после изменения правил во Floating rules. -
p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense
Вот с этого места поподробнее… неужели этот гейт умеет блокировать р2р траффик, не тупо закрытием известных портов?
-
http://zyxel.ru/zywall-usg-1000
-
@w0w:
p.s. После zywall usg 1000 взгрустнул познакомившись с pfsense
Вот с этого места поподробнее… неужели этот гейт умеет блокировать р2р траффик, не тупо закрытием известных портов?
еще как! Но только при покупки подписки appPatrol, благо стоит она не дорого.
-
AppPatrol рубит по сигнатурам, на сколько я вижу
http://www.manualslib.com/manual/200423/Zyxel-Communications-200-Series.html?page=193
, причем сигнатуры регулярно можно обновлять по подписке.Хорошая идея для пакета pfSense.
