Bloquear Ares y p2p en PFsense

Publicado en 'Redes Inalámbricas' por RUBEN7, 2 Dic 2010.





  1. RUBEN7

    RUBEN7 Miembro frecuente

    Registro:
    21 Jun 2010
    Mensajes:
    238
    Likes:
    6




    Buen dia a todos bueno aver amigos de ste gran foro....les pediria sus consejos aver cmo podria configurar pfsense para bloquear ares y p2p .Alguien q x aqui ste apostanmdo x sofware libre y muy bueno.Les stoy muy agradecido.
     


  2. KrlozS

    KrlozS Miembro frecuente

    Registro:
    30 Abr 2010
    Mensajes:
    215
    Likes:
    0
    Muy buenas, tambien tengo esa pregunta, por cierto RUBEN7 aparte de eso ya configuraste todo o con que videotutorial o manual?
    Thx.
    salu2.
     
  3. RUBEN7

    RUBEN7 Miembro frecuente

    Registro:
    21 Jun 2010
    Mensajes:
    238
    Likes:
    6
    Hola kRLOSZ bue dia..... y tabien alos demas amigos del foro q apuestan x pfsense ..personalmemnte xq lo considero mejor ,,su interfaz grafica es excelente su portal cautivo fenomenal......bueno queria saber cmo se podria bloquear el ares y p2p aver si alguien ya lo hizo y nos da una mano.Saludos a tods y muchas gracias.
     
  4. KrlozS

    KrlozS Miembro frecuente

    Registro:
    30 Abr 2010
    Mensajes:
    215
    Likes:
    0
    RUBEN7 a tu pregunta de como bloquear, hazlo con traffic share, si no mal recuerdo, sobre el portal cautivo, cuando le das en continuar sin los campos de user y pass, normal ingresa o tienes que darle al boton hazte que ingrese?
    eso me esta sucediendo.
    gracias y salu2.
     
  5. jemersonalonso

    jemersonalonso Miembro maestro

    Registro:
    4 Mar 2010
    Mensajes:
    978
    Likes:
    305
  6. wifinet

    wifinet Miembro maestro

    Registro:
    21 Mar 2009
    Mensajes:
    591
    Likes:
    73
    Bueno yo bloqueaba el ares y los p2p y cualquier otra aplicacion que nosea permitido por mi, solo cerrando todos los puertos y abriendo lo necesario, muchos diran que ares y los p2p buscan otros puertos cuando esta cerrado el suyo, pero en la practica no los deja pasar, tal es asi cuando usan al bandwidth y les muestre el trafico de informacion en relacion a su protocolo el p2p es casi nulo, y asi debe ser, ahora si desean pueden abilitarlo por usuario , pero recomiendo en one prohibir el uso de los p2p.

    [​IMG]
     
  7. RUBEN7

    RUBEN7 Miembro frecuente

    Registro:
    21 Jun 2010
    Mensajes:
    238
    Likes:
    6
    hola wifinet y cuales serian los puertos q deberia dejar abiertos..para q los clientes puedan navegar sin problmas.danos una mano.gracias.felicidades amigo.
     
  8. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    bueno analizando mas seriamente.. ese tema es facil de responder.. pfsense la version 1.3 no tiene algo parecido como lo que tiene el mikrotik para bloquear al ares, en la version beta es decir pfsense 2.0 tiene el layer7 y bueno es question de probarlo pero todavia esta en beta, ahora los bloqueos de puertos puedes hacerlo por rangos pero no te recomiendo, salvo para una empresa, porque puedes cerrar el puerto de video u otro programa (como me sucedio) y el ares puede usar el puerto 80, si estas interesado me pasas un mensaje pa enseñarte mas.. ya que despues del 11 de diciembre toy freeee... un abrazo..
     
  9. wifinet

    wifinet Miembro maestro

    Registro:
    21 Mar 2009
    Mensajes:
    591
    Likes:
    73
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 110 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 110 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 443 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 443 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 20:21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 20:21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 22 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 22 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 25 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 25 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 53 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 53 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 3389 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 3389 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 2095 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 2095 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 34343 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 34343 -j ACCEPT

    ###########################3
    #Starcraft
    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 6112:6119 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 6112:6119 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 6112:6119 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 6112:6119 -j ACCEPT

    echo -e "Politicas de salida hacia el stacraft: "$OK

    #MSN
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 1863 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 1863 -j ACCEPT

    #MSN file transfer
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 6891:6900 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 6891:6900 -j ACCEPT

    #MSN comunicacion voz
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 6901 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 6901 -j ACCEPT

    #MSN Web CAM
    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 9000:9999 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 9000:9999 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 5004:65535 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 5004:65535 -j ACCEPT

    #Pag www.elchat.com
    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 36102:36102 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 36102:36102 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 36102:36102 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 36102:36102 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 37017:37017 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 37017:37017 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 37017:37017 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 37017:37017 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 18531:18531 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 18531:18531 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 18531:18531 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 18531:18531 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 15516:15516 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 15516:15516 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 15516:15516 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 15516:15516 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 63445:63445 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 63445:63445 -j ACCEPT

    #$IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 63445:63445 -j ACCEPT
    #$IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 63445:63445 -j ACCEPT

    #Yahoo MSN basico
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 5050 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 5050 -j ACCEPT

    #Yahoo MSN Webcam
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 5100 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 5100 -j ACCEPT

    #Yahoo MSN Voz
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 5000:5010 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 5000:5010 -j ACCEPT

    #sinfo senati

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 9080 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 9080 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 9080 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 9080 -j ACCEPT



    echo -e "Politicas de salida hacia el messenger: "$OK

    # Gunbound
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 8400 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 8400 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 8444 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 8444 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 8360 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 8360 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 8352 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 8352 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 8372 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 8372 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 8400 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 8400 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 8444 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 8444 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 8360 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 8360 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 8352 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 8352 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 8372 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 8372 -j ACCEPT

    echo -e "Politicas de salida hacia Gunbound: "$OK

    #radio union
    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 1935 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 1935 -j ACCEPT

    echo -e "Politicas de salida hacia Radio Union: "$OK

    #knight online

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 15001 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 15001 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 15100 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 15100 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 20:21 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 20:21 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 15001 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 15001 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 15100 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 15100 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 20:21 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 20:21 -j ACCEPT

    #Mu online

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 55901 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 55901 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 55902 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 55902 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 55557 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 55557 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p tcp --dport 44405 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p tcp --sport 44405 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s $LAN -p udp --dport 44405 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d $LAN -p udp --sport 44405 -j ACCEPT

    #Audition Latino

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p tcp --dport 18200:19200 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p tcp --sport 18200:19200 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p udp --dport 18200:19200 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p udp --sport 18200:19200 -j ACCEPT

    #Raquion

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p tcp --dport 1100:1399 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p tcp --sport 1100:1399 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p udp --dport 1100:1399 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p udp --sport 1100:1399 -j ACCEPT


    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p tcp --dport 2300:2399 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p tcp --sport 2300:2399 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p udp --dport 2300:2399 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p udp --sport 2300:2399 -j ACCEPT


    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p tcp --dport 40706:40737 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p tcp --sport 40706:40737 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p udp --dport 40706:40737 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p udp --sport 40706:40737 -j ACCEPT


    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p tcp --dport 50817 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p tcp --sport 50817 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p udp --dport 50817 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p udp --sport 50817 -j ACCEPT


    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p tcp --dport 8500 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p tcp --sport 8500 -j ACCEPT

    $IPT -A FORWARD -i $INT_IF -o $EXT_IF -s 172.16.2.205 -p udp --dport 8500 -j ACCEPT
    $IPT -A FORWARD -i $EXT_IF -o $INT_IF -d 172.16.2.205 -p udp --sport 8500 -j ACCEPT

    ----- mensaje añadido, 02-dic-2010 a las 17:57 -----

    estos son algunos de los puertos, pero son de mis mi servidor en centos derrepente le sirve a alguien, ahora con respecto a pfsense, haber voy buscar

    ----- mensaje añadido, 02-dic-2010 a las 17:58 -----

    porsiaca no vayan abrir el puerto de web cam que esta comentado ya que pasarian los p2p, como la mayoria de mi gente no usa web cam no lo habro, a menos que me lo pidan, en tal caso lo abro pero por usuario definido, saludos
     
    Última edición: 2 Dic 2010
  10. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Publicando los puertos que aceptas, fácil uno de tus clientes ve esto y configura su P2P con el amplio rango que das xD

    Saludos
     
    Última edición: 2 Dic 2010
  11. wifinet

    wifinet Miembro maestro

    Registro:
    21 Mar 2009
    Mensajes:
    591
    Likes:
    73
    pero eso es detectable amigo, una ves que le veas hacer eso, solo lo filtras, recuerda que esto de abrir y cerrar puertos se puede hacer por usuario y no en general, si pueden ver en el bandwidth de pfsense te dice quien usa p2p, y en ese caso es donde uno debe actuar, y otra cosa este foro no estan conocido para que mis usuarios lo sepan, y justo dean con mi post, y ademas que sepan configurar, y si lo logran hacer que lo dudo, en unos dias me doy cuenta y le filtro, por tal no hay preocupacion, si publico esto es por ayudar a la gente, saludos
     
  12. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Hombre, que lo que ves con P2P son los paquetes pfSense ha identificado, y los NO identificados los ves en TCP y UDP.

    Personalmente me es un poco extraño que un cliente tenga 1.5G de transferencia diaria que no sea HTTP, y más si sólo tienes algunos puertos abiertos.

    Por cierto, no es que sea un erudito en pfSense, pero no debería de haber un drop general al final de esa lista para bloquear el resto? ya que así sólo veo que aceptas puertos para que estos no sean procesados e identificados por otras reglas más abajo de estos.

    Saludos.
     
  13. rvc63

    rvc63 Miembro de bronce

    Registro:
    26 Feb 2010
    Mensajes:
    1,081
    Likes:
    17
    buenas reglas y ryo amigo deja al amigo es confiado x q sabe lo q hace ;)
     
  14. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Qué aburrido sería el foro si sólo de dedican a aplaudir, sólo tengo curiosidad. xD

    Saludos.
     
  15. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Bueno respondiendote RYO.. la verdad tienes razon, las reglas que ha dado mi estimado Edison son solo para abrir puertos facil que por ahi falta la regla que tiene que decir CERRAR LOS DEMAS, ahora eso de detectar puertos es una jarana y no es sostenible porque necesitas estar viendo cual de los 65,550 puertos son los que uno debe cerrar.
    Las reglas para cerrar puertos solo funcionan en empresas.. ahi si todo cachete.. un ejemplo es que un cliente que chate con video en el mesenger, otro que chatea con un familiar por el skype a Japon.. ahora los puertos son aleatorios en algunos programas.. como sabes cual puerto cerrar en ese caso????
    Por ello siempre recomiendo que si quieren usar para redes inalambricas usen mikrotik porque en el mikrotik si puede bloquear el ares sin necesidad de bloquear los puertos.. bacan no????
    Pero si desean dar soporte a una empresa una buena opcion es el PFSENSE debido a que las reglas son faciles de poner y su entorno grafico es maldito... cada programa tiene lo suyo...
     
  16. wifinet

    wifinet Miembro maestro

    Registro:
    21 Mar 2009
    Mensajes:
    591
    Likes:
    73
    jajajaja que gracioso aqui la gente cree que me chupo el dedo jajaja, ya pues esta bien que soy noob pero no es para tanto, se supone que por defaul tengo cerrado los puertos y no voy a estar posteando todo el script de mi firewall ,que facil se come 2 paginas de este post,
    ahora esto no es de encontrar los puertos que cerrar, sino cerrar todos los puertos y abrir segun el requerimiento, bueno yo conosco mi red y se que el ares y todos los p2p no funcionan, yo antes pensaba igual, con eso de que el ares busca un puerto y hasta puede usar el puerto 80, pero en la practica no se da, ahora que uno lo puede hacer manual claro que lo puede hacer, pero muy pocos hacen eso, y si lo hacen es facil detectar quien usa un p2p hasta con el cain sniffer uno lo puede hacer.
    pero bueno asi me esta trabajando ya buen tiempo, y supongo la gente se abra acostumbrado jajajaja, ademas en mi red los p2p estan prohibido completamente tanto para bien mio como para ellos, y creo ellos ya lo han entendido, y si no les parece piña, prefiero sacar un cliente molestoso que sacrificar 80 tranquilos, saludos.

    pd:

    $IPT -P INPUT DROP
    $IPT -P OUTPUT ACCEPT
    $IPT -P FORWARD DROP
    $IPT -t nat -P PREROUTING ACCEPT
    $IPT -t nat -P POSTROUTING ACCEPT

    ----- mensaje añadido, 03-dic-2010 a las 02:14 -----

    [​IMG]



    pd: aqui una fotito de como estaba mi servidor, auqnue con el tiempo le meti mas puertos, solo que ahora ya no uso pfsense, mas bien uso solo centos, he migrado todos mis servidores a centos, es mas practico para mi, ademas que de la posibilidad de practicar mi abilidades en linux, y es mas moldeable a las necesidades de uno mismo, usando el cron y scripts , uno puede hacer maravillas.
    pero el pfsense me funciono bien todo este tiempo, casi un año trabajando duro y parejo, pero en la practica el centos hera mas estable, y daba cero problemas, y va casi 2 años y todo bien.
    aparte que le he metido un servidor web ( con joomla) y un servidor dns, un ids,servidor de correo, etc,etc.

    haber si algunos se animan a probar la diferencia.
     
  17. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Pues igual me da curiosidad a qué corresponde ese uso de TCP, que es bastante elevado, inclusive más que el HTTP, por ahí se te está escapando algo.

    Igual, por más sniffers que uses, muchas veces no es posible identificar completamente los paquetes, peor si están encriptados, que es está poniendo de moda.

    Si tienes 2 páginas del foro lleno de scripts, ¿tantos puertos dejas abiertos? xD

    Saludos.
     
  18. wifinet

    wifinet Miembro maestro

    Registro:
    21 Mar 2009
    Mensajes:
    591
    Likes:
    73
    claro amigo acaso no sabes que reglas anti dos, anti flooding, anti escaneo de puertos, aparte el nateo, etc,etc, no todo es abrir y cerrar puertos amigo, pero bueno mejor postea algo para ayudar al amigo, derrepente te puedes postear algo como un tutorial basico de mikrotik para ayudar a ala gente, derrepente pfsense no es tan bueno, por tal no solo es criticar lo poco que uno ofrece, mas cosntructivo es dar solucion, aqui hay gente que sabe tanto, pero solo lo vee a modo mercantil, se supone el foro es para ayudar a la gente.

    Ya bueno soluciones amigos, no quejas, y si estoy mal corrigeme no me critiques, y ayuda al amigo, gracias totales. jajajaja.

    ----- mensaje añadido, 03-dic-2010 a las 03:20 -----

    pd: analicen bien el grafico del bandwidth y veras que todo esta bien, entiende el grafico y te daras cuenta, que no hay nada malo. miralo de esta manera http se vee reflejado en tcp , asi lo muestra el bandwidth, corrijanme si me equivoco jajaja.
     
    Última edición: 3 Dic 2010
  19. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Hombre, que hasta el momento no he hecho crítica alguna, sólo expongo mis dudas ante un sistema que la verdad no estoy muy enterado.

    Haber si explicas la manera correcta de interpretar las estadísticas que has colocado... que ahora que lo veo de nuevo, lo empiezo a ver confuso... quizá sea la hora.

    Saludos.
     
    Última edición: 3 Dic 2010
  20. alexpulsar

    alexpulsar Miembro maestro

    Registro:
    8 Jun 2010
    Mensajes:
    713
    Likes:
    76
    jijijji Mikrotik vs Pfsense...:D
    Pero todo esos programas no serian mas facil controlarlos con el layer7..!!!