Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloccare protocolli internet

    Scheduled Pinned Locked Moved Italiano
    3 Posts 2 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      ermanno
      last edited by

      Avrei l'esigenza di bloccare alcuni protocolli su una rete LAN che accede a Internet attraverso un PF.
      Vorrei disattivare , ad esempio , la possibilità di utilizzare i vari P2P , STREAMING , SKYPE , ecc da parte degli utenti collegati alla lan. Ho tentato di configurare PF utilizzando la funzione "Traffic_Shaper". Da dentro Tarffic_Shaper" ho creato una nuova regola (create new l7 rules group ) e ho messo , per fare una prova ,  cosi:

      protocol = bittorrent
      structure = action
      Behavoiur = block

      Ho poi attivato nuova regola su Rules > LAN

      Purtoppo però PF invece di bloccare SOLO il protocollo BITTORRENT , blocca TUTTO , navigazione compresa ….. sicuramente non mi è molto chiaro il funzionamento del "LAYER 7" , ma non ho trovato quasi nulla in rete che spieghi come funzia ...

      Lo scopo di tutta questo sarà , se ci riesco , di lasciare "aperta" la sola normale navigazione con il broswer su internet ma di negare l'accesso a qualsiasi altro servizio/protocollo.

      Un sistema simile è presente nella mia città dove l'amministrazione comunale ha recentemente messo in piedi il Wi-Fi pubblico (basato su ENDIAN - http://www.endian.com/ ) dove è possibile navigare liberamente ma vengono "tagliati" determinati servizi (probabilmente per evitare eccessivi consumi di banda) tipo streaming , FTP , controlli remoti con TeamViever , Skype , ecc.

      P.S.: da qualche parte ho anche letto: "su PF chiudi TUTTE le porte , lascia aperta solo la 80 (per navigare)" , ma sinceramente non so come fare .....  :'( :(

      Grazie

      1 Reply Last reply Reply Quote 0
      • J
        jackyes89
        last edited by

        devi creare due regole, una "pass" e come destinazione metti le porte 80 e 443. Dopodiche fai una regola "block" che blocca tutto il traffico verso qualsiasi porta.
        dall alto nella lista ci sarà la regola pass e dopo quella block. In pratica facendo così, a meno che il traffico non sia diretto alle porte 80 o 443 viene bloccato.
        Le regole le devi fare in Firewall > Rules -> LAN.
        Spero di essere stato di aiuto  ::)

        1 Reply Last reply Reply Quote 0
        • E
          ermanno
          last edited by

          Grazie della risposta , seguendo il tuo consiglio ho configurato la "rules > lan" cosi come vedi nell'immagine allegata. Sembra funzionare ok , come vedi oltre a mettere il "pass" sulle porte 80 e 443 ho dovuto metterlo anche sull porta 53 (quella del DNS) … senza quella non si navigava da nessuna parte.

          Nei prossimi giorni farò qualche prova per vedere l'efficacia , al momento ho notato che "sopcast" è effettivamente bloccato ....

          L'ordine delle regole è costruito per eseguire e quindi far "passare" i servizi desiderati e , a conclusione , l'ultima chiude TUTTO il resto.

          Non fare caso a quelle regole scritte in grigio chiaro , sono prove e esperimenti fatti tempo fa che ora sono disattivate. Le tre penultime regole sulla porta 123 serve per sincronizzare l'orologio di un NAS che fa parte della mia lan

          config_lan_pfsense.jpg
          config_lan_pfsense.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.