Блокировка ограничение скорости torrent pfsense
Здравствуйте! Господа, искал в Интернете, как это сделать pfsense
Нашёл подробные инструкции, типа:
http://pfsensebuddy.weebly.com/blog/how-to-block-bittorrent-download-in-pfsense Однако у меня pfsense
2.3-RELEASE (i386)
FreeBSD 10.3-RELEASE
Version 2.3.2 is available. И я не нахожу там опцию layers 7
На данный момент есть лиммитеры, они отлично режут скорости для ютуба и т.д. Но вот торрент грузит всё напрочь.
Очень прошу помощи.
Похоже я нашел шейпер своей мечты, это таки fairq, а не HFSC, который по факту приоритеты очередей не поддерживает (pfsense их вообще игнорирует для HFSC, хотя в описании написано обратное).
В своём сообщении я привёл ссылку, пользуясь которой, я лиммитеры настроил.
В чём конкретно проблема у вас?
Опишите свой случай. Цель, задачи и вводные данные.
И я не нахожу там опцию layers 7 https://doc.pfsense.org/index.php/Layer_7 pfSense used to contain a Layer 7 classifier, ipfw-classifyd, but it has been removed. It was non-functional on pfSense 2.2.x and removed entirely from pfSense 2.3 because it was not feasible to fix. L7 classification consumed large amounts of CPU and rarely had the intended effect, and it was a rarely used feature even when it did function. https://doc.pfsense.org/index.php/2.3_New_Features_and_Changes Removed Layer 7 classification support from the traffic shaper
Понимаю что тема старая, но тем не менее….
Может кто подробно описать как заблокировать торренты в pfSense 2.3.2?
Полностью заблокировать не получиться, не используя прокси, только попытаться приоретезировать один трафик над другим.
PbIXTOP,
Я не говорил, что это нужно сделать не используя прокси. Подойдут любые варианты блокировки, лишь бы работало.
Удалить(или откл) дефолтное правило IPv4 TCP/UDP LAN net * * * WAN_DHCP none Inet >> LAN Создать 4 правила IPv4 TCP * * * 53 (DNS) * none
IPv4 UDP * * * 53 (DNS) * none
IPv4 TCP * * * 80 (HTTP) * none
IPv4 TCP * * * 443 (HTTPS) * none После этого INET будет ,торренты нет ========================================= При необходимости как писал werter (Разрешите в мир только определенные порты и протоколы)
Добавьте то что вам необходимо
А разве мы его в мир выпускаем ? Дефолтное правило делает тоже самое (только не явно – не видно номера порта и всё) 😉
Иначе как будут идти запросы ДНС? Имется в виду запрет к DNS изLAN. Если в сети единственный DNS, разрешающий адреса интернета — pfSense\Контроллер АД\еще что-то явно указанное, рядовым клиентам внешние DNS в общем-то не нужны.
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив
А для 80 и 443 разве нужно только tcp разрешать? В вики написано что и udp используют по этому порту. А то я может лишка дал для 80 и 443 tcp/udp разрешив
Подниму темку.
Может что-то поменялось? Приориет трафика не подходит, надо совсем заблочить торренты.
Или только через порты? Получается очень много их 🙁
Вот было удобно с лайер7. Что нибудь такое же бы.
вы имеете ввиду это? Protocol Source Port Destination Port Gateway Queue Schedule IPv4 TCP/UDP 192.168.1.17 * * 1025 — 65535 * none Что же мешает пользователю поменять порт в торрент клиенте? Так же из сети LAN запретить всё и открыть определённые порты — гемор. Вот лайер 7 было очень действенно и удобно. Может через сквид что-то можно придумать?
Пусть меняют – но качать не смогут в Destination Port Range указан диапазон запрешаюших портов 1025 — 65535 ,так что флаг им руки ;D
Основные порты открыты так что интернет будет у всех
У Вас что все порты сети доступны кому ни попадя 😮
Из LAN да, а что в этом криминального? Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП? Говорю же что через порты это крайняя мера. Интересен метод по типу как был через лайер 7.
Что помешает пользователю поменять порт в клиенте на 1000? Ничего. И качай дальше. Открытый порт в торрент клиентах — не дырка для закачки.
Он позволяет пирам за NAT (а таких — большинство) облегчить подключение друг к другу. Сама же закачка идет по куче портов, большинство из которых как раз в диапазоне 1ххх- 65535 Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП? А вот тут — согласен. Встречал решение для Микротик — резать специфичные для P2P мелкие пакеты. Как и можно ли это реализовать в pfSense — не знаю.
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП
Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта — не идиоты. А в остальном — точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети. И да, что это за «контора», в к-ой работникам разрешено пользовать торренты? 😮 Золотое правило — разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ? P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы.
Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП
Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP.
Разработчики банк. софта — не идиоты. А в остальном — точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети. И да, что это за «контора», в к-ой работникам разрешено пользовать торренты? 😮 Золотое правило — разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ? P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы. Этот спор будет ни о чем. Каждый останется при своем мнении. Про банк клиенты по большей части согласен, но есть ещё куча всякого другого софта и оборудования. Пользовать торренты? А что запретит? Сейчас портативные проги для всего и вся есть. К тому же проги теперь любят ставиться в папки пользователей.
Про то что запретить скачку exe, заблокировать в домене и тд не нужно, речь не об этом.
Поэтому и спрашиваю как заблокировать, но не через порты.
Все же мне именно их предлагают. Повторюсь ещё раз, через лайер7 было отличное решение. Похожая ситуация с блокировкой видео онлайн. Блокируем по маске, вносим все известные форматы… а потом их открываем, тк в выдачах поисковиков при переходе по ссылкам по любому всплывёт наше блокирование по маске, например avi, и приходится его убирать. DNS на контроллерах домена, оттуда на pfsense, всё нормально там. Золотое правило по большей части было актуально при лимитированном интернете и других скоростях, сейчас же всё и вся лезит в инет. Наверно 50% всей работы пользователей (а не которых и 90%) находится теперь в инете. Здесь у каждого своя ситуация. Всё равно если я не дам доступ, то его не получит ничто и никто. Давайте не будем оффтопить и подытожим: блокировка торрентов либо портами, либо никак. А, ну ещё полосой пропускания.
Ограничение скорости интернета для пользователей pfSense
Настроить приоритет или ограничение трафика для определённого ip -адреса.
Первым делом сделаем замер скорости интернета на компьютере который необходимо ограничить
Переходим к настройке: Firewall / Traffic Shaper
Создадим правила для ограничения
Необходимо создать два правила. Одно для входящего и второе для исходящего трафика
и второе для исходящего трафика
создаём новое правило для LAN интерфейса
В самом низу настроек правила указываем созданные лимиты и сохраняем
применяем настройки “Apply Changes” и перезагружаем настройки фильтра “Filter Reload”
Проверяем сделанные настройки