Bloquer les ports permettant le torrent



  • Bonjour,

    J'utilise PFSense comme pare-feu sur un réseau d'entreprise. Je souhaite bloquer les ports 6881 à 6999 car ce sont eux qui permettent l'accès aux torrents. Comment procéder ? Je suis débutant sur PFSense et j'ai un petit peu de mal à me repérer.

    Merci d'avance,

    Cordialement,

    Loïc



  • Bonjour,

    pas la moindre recherche , pas même la version de pFsense utiliser ^^

    prenez-vous un peut par la main car c'est basic au possible de bloquer un port ^^

    à lire en 1er et d'urgence :
    https://forum.pfsense.org/index.php?topic=9708.0

    Puis :
    https://doc.pfsense.org/index.php/Firewall_Rule_Basics

    cordialement

    EDIT :
    et pour les débutant ^^ (faut bien débuter un jour c'est pas une tare ^^)
    https://forum.pfsense.org/index.php?topic=69908.0



  • Merci pour les liens ;)



  • Bon je reviens vers vous car ça ne fonctionne pas…
    J'ai créé une règle globale pour interdire tous les ports et ensuite des règles pour autoriser le SMTP, POP, DNS et FTP...
    Seulement le torrent n'est pas bloqué alors que logiquement tous les ports le sont.

    Voici 2 screenshot montrant plus en détail mes règles :






  • les règles s'applique dans l'ordre et quand une règle ''match'' ça ne va pas voir plus loin

    inutile de préciser le port source, celui de destination suffis

    en revanche, préciser le réseau ''source'' est préférable ex : lan subnet



  • Merci de ton aide. C'est justement là que j'ai un problème car si je mets la règle d'exclusion des ports en premier alors je perds internet malgré les règles d'autorisation qui suivent…



  • alors en clair

    1/ faite un alias nommer torrent dans lequel vous renseignez les ports à bloquer.

    2/ la règle doit être :

    type : block | Proto: tcp/udp |  source : etudiant_subnet | port source : any | destination : any | destination port : l'alias

    cela ne fonctionnera que si les applications utilise seulement les ports que vous citez, si les applis peuvent passer par le tcp/80 ce sera plus compliquer ^^



  • Le problème c'est que dans le cas de utorrent (pour n'en citer qu'un), on peut choisir le port utilisé. Alors même le blocage des ports 6881 à 6999 ne servirait à rien…
    C'est pour cela que j'aurai aimé fermer tous les ports et ensuite n'ouvrir que ceux qui seront indispensable au bon fonctionnement d'une navigation web basique.



  • en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

    donc vous ajouter seulement des règles pour le trafic utile ^^

    mais, il restera forcément tcp/80 et tcp/443 qui seront forcément ouvert en sortie.

    il reste à voir du côté de layer7

    https://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7



  • Décidément je patauge avec ce PFSense…

    J'ai créé l'alias (du moins je pense) mais je n'arrive pas à créer la règle correspondante (cf: screenshot)






  • @baalserv:

    en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

    donc vous ajouter seulement des règles pour le trafic utile ^^

    mais, il restera forcément tcp/80 et tcp/443 qui seront forcément ouvert en sortie.

    il reste à voir du côté de layer7

    https://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7

    @baalserv:

    type : block | Proto: tcp/udp |  source : etudiant_subnet | port source : any | destination : any | destination port : l'alias

    vous avez un alias de ports et non d'ip ^^
    => renseigner l'alias dans destination port

    @lg750:

    ports 6881 à 6999

    pour l'alias et non 1:65535

    @baalserv:

    en désactivant la règle d'origine qui laisse tout sortir alors tout est fermer

    vous postez sans même réfléchir 2sec sur le message d'erreur de pf => la réponse est dans le message d'erreur ^^



  • Très bien merci j'ai pu créer la règle.
    Je me retrouve donc avec les règles suivantes (cf. screenshot), quel ordre je dois leur donner ? La règle avec l'alias avait pour but de pouvoir la placer en premier de la liste ou non ?




  • 1/ la règles de block sera bien juste en dessous de la règle d'anti-lockout

    2/ réécrivez TOUTES vos règles selons les conseils donner et en utilisant des alias pour plus le lisibilitée et moins de règles à écrire.

    3/ au passage, n'oublier pas le tcp/80 (qui fait défaut dans le screen)

    4/ au passage : TOUS les protocoles ne sont pas compatible avec le load-balancing -> règle à revoir AVEC alias

    EDIT :

    Plus je vous lis et plus je m'apperçoit qu'il n'y à pas que avec pfsense que vous étes débutant ^^
    Il est manifeste que les bases vous font défaut ^^

    Je vous conseille vivement la lecture de M. CALECA



  • A l'install, pour l'onglet LAN, et seulement LAN, une règle par défaut qui autorise tout est créé.
    Là il y a une interface nouvelle, pour laquelle, il n'y a pas de règle par défaut : seule les règles utile doivent être créées.
    Au pire, on peut à la fin créer une règle d'interdiction totale, mais c'est normalement inutile (s'il n'y a pas la règle par défaut).

    Un minimum de lecture de Christian CALECA (dont on ne peut faire l'impasse si on veut être capable de configurer un firewall) explique ce qu'est une "session".
    Une "session" est un échange de paquets, entre un pc client interne et un serveur, formant un tout et caractérisé par le port de destination utilisé :

    • une session web ou http signifie que le paquet initial accède au port 80/tcp sur le serveur.
      Le port source n'a donc que très peu d'intérêt et il NE FAUT SURTOUT PAS le fixer au même 80/tcp (ce qui ne fonctionnerait pas) !


  • En effet je sus débutant en réseau car étudiant dans ce domaine depuis seulement quelques mois. Je dois me débrouiller tout seul dans mon entreprise pour gérer ce problème de PFSense et j'avoue être assez perdu…

    Lorsque j'ai placé la règle de block en-dessous de celle de l'anti-lockout, alors je ne pouvais plus accéder à internet.

    Je vais tâcher de prendre connaissance de la lecture dont vous parlez, au plus vite ;)

    Merci



  • J'ai créé un alias contenant tous les ports que je souhaite autoriser (nommé essential_ports), j'ai ensuite créé une règle que j'ai placé en dessous de ma règle de block, mais pour l'instant sans résultat je me retrouve avec le web inaccessible.
    Ci-après, les screenshots plus explicatifs;)





    ![detail essential_ports.PNG_thumb](/public/imported_attachments/1/detail essential_ports.PNG_thumb)
    ![detail essential_ports.PNG](/public/imported_attachments/1/detail essential_ports.PNG)



  • Oups… J'ai passé la règle de pass au dessus de la règle de block et j'ai de nouveau accès à internet :) .
    Je fais un essai sur uTorrent et à priori les téléchargement ne veulent pas partir !! :)
    Je vais pousser les tests un peu plus loin pour être sûr que ça fonctionne bien, je reviendrai vers vous ensuite.



  • Salut salut

    Juste une petite réaction , n'y aurait il pas un moyen de faire le blocage au niveau des services comme cela si les ports sont modifier de x vers y ou z cela bloque quand même.

    J'ai un peu regarder sur mon pf mais j'ai pas vu l'option ou l'interface, ou pire j'ai pas mis les yeux ou il fallait, dernier option un manque sur l'interface qui la est hors de ma porté technique ( le dev)

    Mais effectivement les ports sont modifiés sur l'application coté client, il faut se fader une écoute des ports/protocoles/services. Fastidieux et pas à l'abri d'une port non bloqué.

    Ce si est juste mon avis.

    Cordialement.



  • Bonjour,

    Eh bien après vérification il semble bien que le torrent soit bloqué mais aucun autre problème de navigation n'est recensé. Merci à tous pour votre aide :)

    Tatave : je ne saurais vous répondre, probablement que jdh ou baalserv aurait plus d'idée que moi ^^



  • n'y aurait il pas un moyen de faire le blockage blocage au niveau des services

    A quoi pensez vous, quels services et où ?



  • Je réagis sur l'image "règles essential.jpg" :

    Sur 4 règles, 3 sont assez inutiles, non ?

    • les règles 3 et 4 sont inadéquates puisque la source ne correspond pas à l'interface (onglet INTERF -> source = INTERF subnet forcément !)
    • la règle 2 est une règle d'autorisation (à revoir : tcp/udp à séparer, dns à retirer)
    • la règle 1 est une règle d'interdictio : si elle n'est pas suivie d'une autorisation générale, il n'y a pas besoin de cette règle


  • Bonjour jdh.

    Alors concernant les règle 1 et 2 je les ai inversées car ça ne fonctionnait pas mais maintenant oui. La règle 2 est devenue règle 1, elle autorise seulement les ports essentiels (FTP, SMTP, POP3, DNS, HTTP et HTTPS).
    La règle 1 est devenue règle 2, elle bloque tous les ports (sauf ceux qui sont autorisés par la règle du dessus).

    Concernant la règle 3 c'est mon collègue qui l'a créé, à ce qu'il m'a dit pour "autoriser le ping", je n'ai pas compris ce qu'il voulait dire et là il est en vacances.
    Et la règle 4, idem elle a été créé par mon collègue apparemment pour notre agrégation de lien.

    Merci de votre intérêt ;)



  • salut salut all

    @ccnet

    Nous avons dans les clients MS  quelques soit la version un fichier "services" sans extension dans c:\windows\system32\ ou est inscrit les services et port correspondant, durant une de mes missions un admin s’était servi de cela pour réaliser les blocages désirés sur le pare-feu, sauf qu'à l'époque je ne savais pas quel était le pare-feu.

    Le gars m'avais dit qu en désignant un protocole (pas un service trou de mémoire comblé) à interdire sur son pare-feu et que si l'un des clients modifiait les ports du protocole sur sa machine, le protocole resterait bloqué sur le pare-feu. Un histoire d'encapsulage de l'entête du protocole si je me souvient bien.

    Petit bémol dans le cas où certaines applications se mettant à jour par le biais de ce protocole.

    Petites solutions dans le cadre entreprise, la mise en place d'un GPO interdisant la modification des ports, et ne pouvant se faire que par un utilisateur avec les bon droits et ou l'administrateur, si cela n'est pas déjà en place.



  • Salut à tous,

    Une autre question me travaille, est-il possible de faire des logs afin de savoir quelles requêtes ont été bloquées par le PFSense ? Par exemple lorsque un utilisateur utilise du torrent, est il possible qu'un log (ou une capture de paquets je ne sais pas) affiche une ligne du type : "port 6889 blocked -> bitorrent" ?
    En clair est-il possible de voir ce qui passe et ce qui est bloqué par le PFSense sur mon réseau ?

    cordialement,

    Loïc



  • les 2 maître mot dans l'informatique sont : RECHERCHE et AUTO-APPRENTISSAGE

    les questions c'est pour quand on a déjà chercher et que l'on explique les résultats  !

    donc pour vous répondre : OUI
    1/ log dans le webgui
    2/ syslog

    vous auriez trouver seul les réponses si vous aviez regarder les menus et donc les possibilités offerte par PF !



  • Bonjour,

    J'ai évidemment déjà trouvé le menu de logs parmi les onglets du PFSense… Cependant, les différents données qui y apparaissent ne correspondent pas à ce que j'ai cru configurer (à savoir de logs en fonction de mes différentes rules).

    Cordialement,

    LG



  • quand on active les log d'une règle de FW, on retrouve les logs correspondant dans l'onglet firewall du system logs

    j'ose espèrer que votre installation est sur HDD et non sur CF ^^

    (je me suis apperçu que Pf2 écris les logs dans des fichiers, ils ne sont donc plus seulement en Ram comme avec Pf1)



  • Mon PFSense est sur une machine physique donc oui avec un disque dur.

    Concernant les logs, j'ai en effet trouvé ceux de l'onglet firewall, mais ils ne me permettent pas de savoir quelle requête a été bloquée (le site web, etc).



  • savoir quelle requête a été bloquée (le site web, etc).

    Pfsense est un firewall (associé à des services complémentaires comme dhcp, cache dns, etc …) C'est un équipement qui travaille essentiellement sur les couches 3 et 4 du modèle OSI, ainsi que pour partie en couche 2. Les informations que vous souhaitez obtenir font partie de la couche applicative (typiquement l'url demandée). Il est donc normal que Pfsense ne vous les fournisse pas. Vous pouvez certes obtenir la résolution de l'ip cible en nom mais cela ne renseigne que vaguement sur le site web consulté et encore moins sur l'url envoyée. Ce que vous souhaitez peut être obtenu par un proxy. Là se présente un autre problème, de nature juridique.



  • Merci beaucoup pour votre réponse, il me semblait qu'à un moment donné je me retrouverai confronté un problème d'ordre illégal. De toute façon mes règles fonctionnent, j'aurais juste aimé pouvoir en savoir un peu plus sur l'usage fait par les utilisateurs de mon réseau, mais si c'est illégal alors ça ne m'intéresse pas, c'était de la simple curiosité.

    Merci ;)



  • Sur le plan juridique, de façon très résumée, vous pouvez consulter les volumes de trafic par utilisateur sans problème, ou encore établir un hit parade des sites visités. Par contre consulter pour certains utilisateurs la liste des url visitées porte atteinte à ce qui est considéré comme des données personnelles. De plus il est impératif que les utilisateurs aient connaissance, de façon formelle (charte signée), de l'existence du proxy ou d'autres dispositifs qui collectent de données ou auditent le trafic.



  • Merci pour ces précieuses informations ;)