Bloquear p2p de manera selectiva



  • Hola de nuevo a todos.
    Quiero preguntarles como hacer para hacer un bloqueo selectivo de cualquier sistema p2p dentro de mi red. suscede que algunas personas si necesitan usarlo para su trabajo, pero otras no.

    Probé hacerlo con Traffic Shaper. pero afecta de manera uniforme el flujo ¿Será posible hacerlo parcialmente en base a las direcciones IP?

    También leí por ahí que por el tipo MIME podría hacerse por mediod e Squid



  • hola que tal, mira puedes crear un alias para las ip's que quieras que tengan p2p tambien otro para las que no, y dos alias mas uno donde vayan los puertos http y el segundo alias para los puertos p2p.

    Ahora en las reglas del firewall, deberas crear tres reglas reglas

    1.- primer alias (IP's con P2P) y que los puertos de destino sean los http.
    2.- primer alias (IP's con P2P) y que los puertos de destino sean los p2p.
    3.- segundo alias (IP's sin P2P) y que los puertos de destino sean solo los http.

    y borras las otras reglas.

    Espero y me entiendas :)



  • Hola,

    yo lo tengo hecho de manera que tengo todos los puertos cerrados, y abro solo los que necesito para las maquinas que necesito… en definitivia, tengo unos alias de puertos:

    • acceso web (http, https)
    • acceso ftp (ftp, ftp-data, sftp)
    • acceso terminal (telnet, ssh, remote desktop)
    • acceso email (smtp, pop3, imap, pop3s, imaps, smtps)
      ...

    Y solo doy acceso a los que lo necesitan. Y en el caso del P2P, abro el resto de puertos (de salida).

    Con eso lo bloqueas, y no aefctas ni al rensimiento ni nada.... Es lo que hay comentado en la respuesta anterior, pero con acceso a mas cosas que HTTP.

    Saludos



  • Hola amigos, muchas gracias por sus respuestas.

    Ya lo hice así.

    Tome mi propia IP como conejillo de indias.

    Entonces tengo estas reglas

    En donde NO_WAN es una IP 192.168.1.13 que es la que uso como conejillo de indias.
    y puertos_correo son los puertos 25 y 110 y el resto asumo que no necesita explicación.

    Bién, el problema que tengo es que no tengo salida para http ni para los correos, es decir que me bloquea todo completamente.

    ¿En donde está la falla?



  • :) hola…

    para poder ejecutar un sitio web necesitas no solo paquetes por el puerto 80 para http, también necesitas otros paquetes habilitados como por ejemplo los del DNS, si no  los permites las paginas webs no podrán correr. por lo que te recomiendo que coloques o agregues una regla que permita este trafico de paquetes DNS ya sea agregar estos puertos en la misma regla o en una nueva...

    ademas agrega otros puertos importantes para garantizar una buena comunicación con http, https sobre tcp o udp
    puertos: http o https sobre  tcp: 80, 443, 21, 53, 119
                http o https sobre  udp: 53, 119, 123

    prueba y nos comentas...



  • ¡Hola!

    puertos: http o https sobre  tcp: 80, 443, 21, 53, 119
                http o https sobre  udp: 53, 119, 123

    ¡Ojo!

    http es TCP 80, normalmente TCP.
    https es TCP 443, normalmente TCP.
    ftp es 21, normalmente TCP.
    dns es 53 y puede ser TCP o UDP.
    nntp es 119 y puede ser TCP o UDP.
    ntp es 123 y puede ser TCP o UDP.

    En http://www.iana.org/assignments/port-numbers está la asignación oficial de puertos.

    Cierto es que para acceder a Internet estos servicios son necesarios … Pero son servicions diferenciados, no todo es http o https.

    También hay muchos servidores web que emplean puertos alternativos, normalmente entre el 8000 y el 8100. En http://www.iana.org se puede ver que estos puertos también están asignados, pero se usan en servicios poco habituales. De ahí que se "aprovechen" como puertos alternativos a http.

    Saludos,

    Josep Pujadas



  • nuevamente muchas gracias a todos, ya se pudo.

    Creé una nueva regla para TCP/UDP DNS, NTP, NNTP y asunto arreglado.  :D

    Hice la prueba con el lphant p2p, veo que si se conecta, pero no realiza busquedas, ni descargas ni subidas, supongo que la conexión se hará vía http.

    Ahora con la siguiente tarea…

    Saludos a todos.



  • Hola de nuevo… pensé que ya estaba, pero al tratar de conectarme a un FTP tuve problemas al momento de listar los contenidos, no responde la conexión, ¿Será que no solo se ocupa el peurto 21 o 22 para FTP?

    me envía este mensaje el FTP...

    Estado: Resolviendo la dirección IP de ftp.arbold.net
    Estado: Conectando a  x.x.x.x:21...
    Estado: Conexión establecida, esperando el mensaje de bienvenida...
    Respuesta: 220 ProFTPD 1.3.0a Server (ProFTPD Default Installation) [x.x.x.x]
    Comando: USER xxxxxx
    Respuesta: 331 Password required for xxxxxxx.
    Comando: PASS ***********
    Respuesta: 230 User xxxxxx logged in.
    Estado: Conectado
    Estado: Recuperando el listado del directorio…
    Comando: PWD
    Respuesta: 257 "/" is current directory.
    Comando: TYPE I
    Respuesta: 200 Type set to I
    Comando: PASV
    Respuesta: 227 Entering Passive Mode (208,109,154,145,223,122).
    Comando: LIST
    Respuesta: 421 No Transfer Timeout (300 seconds): closing control connection.
    Error: Error al recuperar el listado del directorio
    Error: Desconectado del servidor

    Saludos



  • ¡Hola!

    Normal …

    Tienes que activar FTP Proxy Helper en la LAN y poner una regla que permita el tráfico TCP con destino a 127.0.0.1, http://www.bellera.cat/josep/pfsense/regles_cs.html#Alumnes

    Saludos,

    Josep Pujadas



  • Hola Josep, ya agregué esa regla, pero continua sin listar, te pongo un print de las reglas que tengo.



  • ¡Hola!

    En la definición de la interfase LAN tienes que tener la casilla FTP Helper  - Disable the userland FTP-Proxy application desmarcada.

    ¿Lo has comprobado?

    En el tutorial sólo una de la interfase Alumnes tiene deshabilitada esta opción, http://www.bellera.cat/josep/pfsense/config_base_cs.html#interfaces_alumnes

    Saludos,

    Josep Pujadas



  • Ahora si, eso era lo que faltaba Muchas gracias Josep ¿Pero que significa que inhabilitemos el ftp-proxyhelper?

    Saludos!



  • ¡Hola!

    No lo has deshabilitado, lo has habilitado. Desmarcar la casilla quiere decir habilitarlo.

    FTP no funciona por un sólo canal de comunicación, http://es.wikipedia.org/wiki/FTP

    Esto quiere decir que se abren puertos dinámicos, con lo que hacer FTP desde detrás de un cortafuegos es un quebradero de cabeza. Para resolver esto, PF tiene la posibilidad de hacer servir el propio cortafuegos como proxy para FTP, http://www.openbsd.org/faq/pf/es/ftp.html y http://www.bellera.cat/josep/pfsense/cas_estudi_cs.html#ftp

    De ahí la regla para 127.0.0.1 (el propio cortafuegos es quien comunica con el exterior para hacer FTP, haciendo de proxy).

    Saludos,

    Josep Pujadas



  • Buenas a todos

    Me encuentro en la misma situación y lo he solucionado con el traffic shaper y con un alias.
    Dentro de este he metido las direcciones ip de los hosts con acceso a p2p. Después en las reglas del
    traffic shaper he modificado las ultimas cuatro que pertenecen al p2p indicando que no se apliquen a
    dicho alias. En la captura se puede ver delante del alias una "!", esto indica una negación.

    Saludos



Locked