Bloccare protocolli internet
-
Avrei l'esigenza di bloccare alcuni protocolli su una rete LAN che accede a Internet attraverso un PF.
Vorrei disattivare , ad esempio , la possibilità di utilizzare i vari P2P , STREAMING , SKYPE , ecc da parte degli utenti collegati alla lan. Ho tentato di configurare PF utilizzando la funzione "Traffic_Shaper". Da dentro Tarffic_Shaper" ho creato una nuova regola (create new l7 rules group ) e ho messo , per fare una prova , cosi:protocol = bittorrent
structure = action
Behavoiur = blockHo poi attivato nuova regola su Rules > LAN
Purtoppo però PF invece di bloccare SOLO il protocollo BITTORRENT , blocca TUTTO , navigazione compresa ….. sicuramente non mi è molto chiaro il funzionamento del "LAYER 7" , ma non ho trovato quasi nulla in rete che spieghi come funzia ...
Lo scopo di tutta questo sarà , se ci riesco , di lasciare "aperta" la sola normale navigazione con il broswer su internet ma di negare l'accesso a qualsiasi altro servizio/protocollo.
Un sistema simile è presente nella mia città dove l'amministrazione comunale ha recentemente messo in piedi il Wi-Fi pubblico (basato su ENDIAN - http://www.endian.com/ ) dove è possibile navigare liberamente ma vengono "tagliati" determinati servizi (probabilmente per evitare eccessivi consumi di banda) tipo streaming , FTP , controlli remoti con TeamViever , Skype , ecc.
P.S.: da qualche parte ho anche letto: "su PF chiudi TUTTE le porte , lascia aperta solo la 80 (per navigare)" , ma sinceramente non so come fare ..... :'( :(
Grazie
-
devi creare due regole, una "pass" e come destinazione metti le porte 80 e 443. Dopodiche fai una regola "block" che blocca tutto il traffico verso qualsiasi porta.
dall alto nella lista ci sarà la regola pass e dopo quella block. In pratica facendo così, a meno che il traffico non sia diretto alle porte 80 o 443 viene bloccato.
Le regole le devi fare in Firewall > Rules -> LAN.
Spero di essere stato di aiuto ::) -
Grazie della risposta , seguendo il tuo consiglio ho configurato la "rules > lan" cosi come vedi nell'immagine allegata. Sembra funzionare ok , come vedi oltre a mettere il "pass" sulle porte 80 e 443 ho dovuto metterlo anche sull porta 53 (quella del DNS) … senza quella non si navigava da nessuna parte.
Nei prossimi giorni farò qualche prova per vedere l'efficacia , al momento ho notato che "sopcast" è effettivamente bloccato ....
L'ordine delle regole è costruito per eseguire e quindi far "passare" i servizi desiderati e , a conclusione , l'ultima chiude TUTTO il resto.
Non fare caso a quelle regole scritte in grigio chiaro , sono prove e esperimenti fatti tempo fa che ora sono disattivate. Le tre penultime regole sulla porta 123 serve per sincronizzare l'orologio di un NAS che fa parte della mia lan