Como bloquear trafico UDP



  • hola

    como puedo bloquear el trafico UDP que genera dentro de mi lan el juego Counter Strike

    he puesto esta regla en el firewall pero no me funciona

    [click to toggle enabled/disabled status]  UDP  *  *  *  *  *         

    gracias



  • :) hola…

    la primera regla habilita todo el trafico... por lo que pfsense no mira la segunda regla y los paquetes udp de tu juego pasan sin problema.

    Traslada tu regla hacia arriba, que quede de primera y coméntanos...

    los paquetes son sometidos a cada regla partiendo de la primera, como tienes habilitado (*) es decir todo entonces el paquete pasa sin mirar el tipo... al colocar tu nueva regla de primero el pfsense mirará si es udp y lo bloqueará, en caso contrario lo dejara pasar a la segunda regla y así sucesivamente...



  • he modificado las reglas de la siguiente forma :

    eso significa q lo unico q deberia hacer el firewall es bloquear todo el trafico UDP q se genere en la LAN net y q valla para cualkier parte…. pero no ocurre

    yo se q algo debo estar haciedno mal......

    la configuracion es por defecto salvo lo q acabo de mencionar

    con este tipo de configuracion en teoria me imposibilitaria la navegacion  por internet y tambien jugar en counter strike en la red LAN

    pero no funciona.... la navegacion esta cortada pero no el counter strike

    gracias



  • :) hola…

    cuando configuras la regla en la parte superior defines si habilitas (pass), bloqueas (block), rechazas (reject) y si deseas que se informe en el logger cuando la regla se aplique a algún paquete (log), tienes elegida reject, elige block

    para que se de una comunicación no solo se habilita udp o tcp se necesitan otros paquetes ojea el post:

    http://forum.pfsense.org/index.php/topic,9047.msg51464.html#msg51464



  • :) hola…

    creo que estamos confundiendo las cosas....  :o

    si tienes 5 o x equipos conectados a un suiche o a un hub y corres el juego counter strike dado que todas las direcciones ips están con la misma mascara es decir pertenecen al mismo segmento entonces entre ellas se pueden comunicar sin ningún problema, en otras palabras no necesitan al pfsense para hacerlo, mas aun si el juego al correr en grupos genera un server virtual creando una sala de juego local.

    es lógico que al colocar la regla no puedas navegar, pero si jugar... el pfsense esta en medio del internet o tu WAN y tu LAN y cumple la función de vigilar y/o limitar la comunicación entre estas dos redes, por lo que pfsense no interfiere de manera directa entre la comunicación entre equipos de la misma LAN, esto lo he verificado en laboratorio.

    Por ahora no se me ocurre como evitar el trafico local de tu juego, pero pareciera que necesitarías colocar un router conectado a tus equipos... déjame pensar y después te comento... en los equipos wireless con firmware dd-wrt es posible aislar la comunicación entre los equipos de la misma LAN ya sea LAN alambrica o inalambrica...

    ahora si deseas bloquear el juego con un server en internet entonces si es posible con la regla...



  • ¡Hola!

    Tal como te dice sanchezluys el cortafuegos no interviene para nada dentro de los equipos que tengas conectatos a tu switch …

    Soluciones (suponiendo que tus equipos sean Windows):

    1. Mediante directivas de sistema puedes llegar a impedir que los usuarios NO administradores ejecuten determinados programas. Esto es más fácil de hacer si tus máquinas forman parte de un Active Directory, ya que las políticas se pueden establecer desde el controlador de dominio (tanto a nivel máquina como a nivel usuario).

    2. Supongo (no lo he probado) que el cortafuegos de Windows no debe ser modificable para usuarios NO administradores del equipo. Una posible solución es bloquear los puertos empleados con él.

    Si lo que se trata es bloquear el juego con otros usuarios en Internet, pfSense sí te servirá. En http://supportwiki.steampowered.com/es/Troubleshooting_Network_Connectivity explican los puertos empleados.

    La reglas de lo que pueden hacer desde la LAN o no tienes que ponerlas en la LAN, no en la WAN. Si tienes que poner algún bloqueo porque tienes autorizado todo en la LAN, ponlo por delante de la regla que autoriza todo.

    Poniendo las reglas en la LAN ahorrarás trabajo al cortafuegos, ya que pararás lo que proceda de LAN en la propia interfase LAN y no en la WAN. Hecho esto, no tiene sentido poner reglas en WAN a menos que estés dando servicios en Internet, para autorizar la entrada.

    Si no hay reglas, todo tráfico entrante a la interfase está denegado, excepto peticiones DHCP si se usa el servidor DHCP de pfSense.

    http://www.bellera.cat/josep/pfsense/regles_cs.html

    Saludos,

    Josep Pujadas



  • hola
    si tienen razon…. el trafico dentro de una lan no pasa por el pfsense y no puedo hacer un bloqueo para el trafico del jueguito ya q todos los equipos tienen una ip asignada (10.32.1.x/8) estoy en estos momentos configurando el snort para ver qué trafico se hace desde los servidores q crean dentro de la red los muchachos y de alguna manera poner una restriccion, pero si no me funciona voy a desistir de esta tarea y dejar q juegen internamente...... por q como ustedes correctamente han dicho el trafico se bloquea cuando hay conecciones fuera de la LAN y para eso las reglas q he puesto funcionan a la perfeccion.
    como nota podria agregar q para q se bloquee el trafico UDP desde de la LAN hacia cualquier parte es necesario configurar la regla de la siguiente manera

    http://img220.imageshack.us/my.php?image=rule4sb2.jpg

    antes yo configuraba la regla poniendo como origen (source) o destino (destination) la LAN Subnets ... pero me di cuenta de q en los logs no aparecia nada referido al bloeuqeo de esa regla..... luego lo configure como aparece en la SS poniendo el origen y el destino a la LAN address y hay si q empezo a cortar no solo el trafico UDP que generaba el juego al intentar conectarce a los servidores de internet sino tambien el trafico por los puertos 137 136 y todo lo relacionado con netbios o samba

    gracias por sus aclaraciones ya q sin su ayuda aun seguiria estancado en mi trabajo perdiendo tiempo tratando de bloquear algo inbloqueable y seguir avanzando en lo mucho q he dejado de lado por concentrarme en esto. Pero no obstante voy a hacer lo q dice sanchezluys y buscar un router q pueda hacerlo

    gracias nuevamente por su ayuda



  • ¡Hola!

    Perdona por el comentario sobre las reglas en LAN en lugar de en WAN. Había mirado mal las imágenes y creía que las estabas poniendo en WAN …

    snort sólo te podrá analizar el tráfico de una de las interfases de pfSense, a no ser que en lado LAN tengas un hub en lugar de un switch. Las bocas de los switches actuales sólo ven lo que va destinado a su IP y los broadcast de su subred. No ven el tráfico del resto de bocas, a menos que tengan lo que se llama port mirroring. Un hub sí ve en todas las bocas el tráfico. De ahí la diferencia de velocidad; el switch es más inteligente …

    Podrías probar a jugar con las IPs y las máscaras para que las máquinas no se vieran entre sí pero vieran todas la LAN de pfSense como puerta de enlace. Hace unos meses hubo un post de alguien que hacía rebotar los paquetes en la LAN de pfSense para llevar el tráfico hacia diferentes routers colocados en la LAN que enlazaban con otras partes de su instalación.

    Saludos,

    Josep Pujadas


Log in to reply