pfSense Gold Subscription

Author Topic: Блокировка ограничение скорости torrent pfsense  (Read 2092 times)

0 Members and 1 Guest are viewing this topic.

Offline Bansardo

  • Full Member
  • ***
  • Posts: 211
  • Karma: +3/-0
    • View Profile
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

Offline oleg1969

  • Full Member
  • ***
  • Posts: 225
  • Karma: +39/-0
    • View Profile
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

UDP на 80 и 443 это лишнее

Offline werter

  • Hero Member
  • *****
  • Posts: 4755
  • Karma: +215/-14
    • View Profile
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив

Доброе.
Ссылкой поделитесь ?

Offline pavvap

  • Jr. Member
  • **
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Подниму темку.
Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
Или только через порты? Получается очень много их :(
Вот было удобно с лайер7. Что нибудь такое же бы.

Offline oleg1969

  • Full Member
  • ***
  • Posts: 225
  • Karma: +39/-0
    • View Profile
Что нибудь такое же бы.

Вариант первый

Я уже писал работает на Ура!

https://forum.pfsense.org/index.php?topic=118574.msg691961#msg691961

Вариант второй

Создаем запрещающе  правило
Quote
Protocol             Source           Port    Destination    Port    Gateway    Queue    Schedule    

IPv4 TCP/UDP    192.168.1.17    *        *             1025 - 65535    *    none             

Это пример для конкретной машины 192.168.1.17

Если надо для всей сети в Source ставим Lan net

Quote
и Удалить(или откл) дефолтное правило

   IPv4 TCP/UDP    LAN net    *    *    *    WAN_DHCP    none         Inet >> LAN


Offline pavvap

  • Jr. Member
  • **
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Так я же говорю чтобы не через порты...
Портов много.

Offline oleg1969

  • Full Member
  • ***
  • Posts: 225
  • Karma: +39/-0
    • View Profile
Так я же говорю чтобы не через порты...
Портов много.

А ПОЧЕМУ БЫ НЕ ЧЕРЕЗ ПОРТЫ ??
 
Всего одно правило





Offline pavvap

  • Jr. Member
  • **
  • Posts: 26
  • Karma: +0/-0
    • View Profile
вы имеете ввиду это?

Protocol             Source           Port    Destination    Port    Gateway    Queue    Schedule   

IPv4 TCP/UDP    192.168.1.17    *        *             1025 - 65535    *    none       

Что же мешает пользователю поменять порт в торрент клиенте?

Так же из сети LAN запретить всё и открыть определённые порты - гемор.

Вот лайер 7 было очень действенно и удобно.

Может через сквид что-то можно придумать?

Offline oleg1969

  • Full Member
  • ***
  • Posts: 225
  • Karma: +39/-0
    • View Profile
вы имеете ввиду это?

Protocol             Source           Port    Destination    Port    Gateway    Queue    Schedule   

IPv4 TCP/UDP    192.168.1.17    *        *             1025 - 65535    *    none       

Что же мешает пользователю поменять порт в торрент клиенте?

Так же из сети LAN запретить всё и открыть определённые порты - гемор.



Quote
Что же мешает пользователю поменять порт в торрент клиенте?

Пусть меняют -- но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D

Quote
Так же из сети LAN запретить всё и открыть определённые порты - гемор.

Основные порты открыты так что интернет будет у всех
У Вас что все порты сети доступны кому ни попадя :o

Offline pavvap

  • Jr. Member
  • **
  • Posts: 26
  • Karma: +0/-0
    • View Profile

Quote
Пусть меняют -- но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 - 65535 ,так что флаг им руки ;D

Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

Quote
Основные порты открыты так что интернет будет у всех
У Вас что все порты сети доступны кому ни попадя :o

Из LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

Говорю же что через порты это крайняя мера.

Интересен метод по типу как был через лайер 7.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1612
  • Karma: +204/-2
    • View Profile
Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше.

Открытый порт в торрент клиентах - не дырка для закачки.
Он позволяет пирам за NAT (а таких - большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535

Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП?

А вот тут - согласен.

Встречал решение для Микротик - резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense - не знаю.

Offline werter

  • Hero Member
  • *****
  • Posts: 4755
  • Karma: +215/-14
    • View Profile
Доброе.
Quote
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.

А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.

Offline pavvap

  • Jr. Member
  • **
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Доброе.
Quote
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП

Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта - не идиоты.

А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети.

И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o

Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ?

P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.

Этот спор будет ни о чем. Каждый останется при своем мнении.

Про банк клиенты по большей части согласен, но есть ещё куча всякого другого софта и оборудования.

Пользовать торренты? А что запретит? Сейчас портативные проги для всего и вся есть. К тому же проги теперь любят ставиться в папки пользователей.
Про то что запретить скачку exe, заблокировать в домене и тд не нужно, речь не об этом.
Поэтому и спрашиваю как заблокировать, но не через порты.
Все же мне именно их предлагают. Повторюсь ещё раз, через лайер7 было отличное решение.

Похожая ситуация с блокировкой видео онлайн. Блокируем по маске, вносим все известные форматы... а потом их открываем, тк в выдачах поисковиков при переходе по ссылкам по любому всплывёт наше блокирование по маске, например avi, и приходится его убирать.

DNS на контроллерах домена, оттуда на pfsense, всё нормально там.

Золотое правило по большей части было актуально при лимитированном интернете и других скоростях, сейчас же всё и вся лезит в инет. Наверно 50% всей работы пользователей (а не которых и 90%) находится теперь в инете. Здесь у каждого своя ситуация. Всё равно если я не дам доступ, то его не получит ничто и никто.

Давайте не будем оффтопить и подытожим: блокировка торрентов либо портами, либо никак. А, ну ещё полосой пропускания.

Offline oleg1969

  • Full Member
  • ***
  • Posts: 225
  • Karma: +39/-0
    • View Profile
Так поставте предедушую версию pFsense 2.2.x в них  layer 7 и работает
« Last Edit: October 16, 2017, 03:01:00 am by oleg1969 »