Блокировка P2P-трафика на маршрутизаторе Linksys WRT54G с прошивкой Tomato

38884
Kami

Я использую небольшую беспроводную сеть (от 6 до 10 пользователей) на Linksys WRT54G с микропрограммой Tomato, подключенной к Интернету. Я не хочу, чтобы пользователи загружали файлы с помощью BitTorrent (в основном используется) и других приложений P2P.

Я также нашел несколько решений по снижению приоритета трафика P2P с помощью QoS. Мне действительно нужно запретить трафик P2P.

Кто-нибудь знает, как настроить некоторые правила, чтобы запретить такой трафик?

Я пытался настроить правило ограничения доступа:

Скриншот

Однако это не работает вообще.

6

6 ответов на вопрос

3
geek

Обычно это невозможно. Любой битторрент-клиент может быть настроен на использование любого порта. Почти любой битторрент-клиент может быть настроен на шифрование битторрент-трафика, поэтому его становится сложнее обнаружить. Вы все еще можете преуспеть с политикой DENY по умолчанию, разрешающей только законный трафик (например, HTTP и HTTPS - соединения с портами 80,443), но это другая история.

Я бы в целом согласился с этим - решительный пользователь может обойти практически все (я направлял весь свой трафик через DNS, пока в универе обходил блок) ... Но методы, упомянутые в других ответах, наверняка будут сдерживать случайных пользователей или Факт, кто-либо без значительной решимости сделать это. Вы, вероятно, не много из них в сети 12 пользователей Jon Story 10 лет назад 0
3
Fryderyk

Лучший способ, которым я мог придумать до сих пор, - это сочетание вещей:

  1. Используйте DNS-серверы OpenDNS и используйте их категорию p2p, чтобы заблокировать доступ к сайтам p2p. В Tomato установите флажок «Перехватывать порт DNS (UDP 53)» в разделе « Дополнительно» > « DHCP / DNS», чтобы пользователь не мог использовать собственные DNS-серверы.
  2. В Tomato создайте правило ограничения доступа, задайте для порта / приложения значение «TCP / UDP, IPP2P: все фильтры IPP2P» (это заблокирует незашифрованный трафик p2p).
  3. В поле HTTP Request я ввел несколько общих ключевых слов bittorrent / emule, используемых в URL. Это не позволяет пользователям загружать файлы .torrent, подключаться к трекерам, которые обычно используют адреса, такие как tracker.xxx.com или domain.com/scrape, и т. Д. Мой список на данный момент:
анонсировать поток трекер скрести peerates peerbooter gruk.org emule-security.net server.met
  1. В Tomato в разделе Администрирование > Сценарии > Брандмауэр я добавил пару правил iptables, чтобы запретить любому пользователю открывать слишком много соединений. Я также заблокировал некоторые часто используемые битторрентные порты:
iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m connlimit --connlimit-выше 50 -j DROP iptables -I ВПЕРЕД -p! tcp -s 192.168.1.0/24 -m connlimit --connlimit-выше 25 -j DROP  iptables -I FORWARD -p tcp --dport 6881: 6999 -j ОТКАЗАТЬ iptables -I FORWARD -p udp --dport 6881: 6999 -j ОТКЛОНИТЬ
+1 за указание «Перехватить порт DNS (UDP 53)» jao 12 лет назад 1
2
ssollinger

Одним из способов сделать это косвенным путем является использование OpenDNS .

  1. Установите DNS-сервер в настройках вашего маршрутизатора на серверы OpenDNS (208.67.222.222 и 208.67.220.220)
  2. Создайте учетную запись на веб-сайте OpenDNS (это бесплатно) и следуйте инструкциям на их веб-сайте, как ее настроить.
  3. Затем в настройках вашей учетной записи выберите пользовательский уровень фильтрации и выберите, чтобы заблокировать «P2P / Общий доступ к файлам». Если вы хотите, чтобы вы могли блокировать другие категории, я бы определенно заблокировал «Фишинг», и в зависимости от ваших потребностей вы можете добавлять определенные сайты в качестве исключений или блокировать.

Это косвенный способ достижения вашей цели и, вероятно, не то, что вы изначально искали, но он будет работать и имеет ряд дополнительных преимуществ (например, блокирование некоторых других веб-сайтов, которые вы, вероятно, хотите заблокировать).

Это просто заблокирует доступ к веб-сайтам, на которых доступно программное обеспечение P2P и торрент-файлы. Это ничего не сделает, чтобы остановить реальный трафик P2P. paradroid 14 лет назад 1
1
John T

Для блокировки P2P, посмотрите в Ограничение доступа Tomato . Это поможет вам блокировать приложения по портам, и вы даже можете фильтровать данные, содержащиеся в HTTP-запросе. Вы даже можете блокировать такие вещи, как Active X и Java-апплеты.

Это то, что я сделал до сих пор, но это совсем не работает! Я сделал следующее ограничение доступа: --------------------------------- Расписание: Весь день, Тип каждый день: Нормальное ограничение доступа применяется ко всем компьютерам / устройствам. Порт / приложение: TCP / UDP - Src или Dst - 6881-6999 IPP2P (отключено) - Уровень 7 (отключено) --------------- ----------------------- Я не уверен в протоколе, и я нашел этот диапазон портов на веб-сайте ... Kami 15 лет назад 0
Помните, что существует более одного p2p-приложения, то есть просто Bittorrent. Вы можете найти порты, используемые другими приложениями здесь: http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers. С настройками TCP и UDP все будет в порядке. John T 15 лет назад 0
1
Rey

Выделенный пользователь может обойти любые ограничения, но вы можете усложнить это. Во-первых, вы можете отключить функцию Plug n Play для переадресации портов и только переадресации портов, через которые вы хотите, однако, однако, если бы это был я, и я был выделен, я бы просто настроил общий доступ к файлам, чтобы использовать порт 80 или 443, и это просто F F Up. Вы не можете заблокировать эти порты, и это было бы еще хуже.

Другой способ, которым вы можете воспользоваться, - это разрешить plug n play, посмотреть в журнале и посмотреть, с какими портами они соединяются, затем настроить qos на этих портах, предоставить им некоторую пропускную способность, но установить для нее самый низкий приоритет и самый высокий для другого трафика, таким образом, когда кто-то использует в Интернете они получают приоритет, и у файлообменника будет какой-то общий доступ к файлам, но он не увеличит пропускную способность. Они будут менее мотивированы, чтобы обойти ваши ограничения. Также включите ipp2p и layer7 для их совместного использования, это для qos для совместного использования приложений. Некоторые люди используют это, чтобы заблокировать p2p, но у него есть некоторые недостатки, которые также влияют на регулярный трафик, и p2p также может обойти это.

Проблема с запретом доступа заключается в том, что если они шифруют свой общий доступ, фильтрация оказывает незначительное влияние. Пользователь с небольшими знаниями может установить зашифрованный vpn, и нет способа заблокировать его или каким-либо образом ограничить. Как только это произойдет, не будет работать запрет на ключевые слова, фильтрация и блокировка портов, а также поиск по ключевым словам. Весь трафик зашифрован, безопасен и приватен. В качестве примера того, насколько это эффективно, Китай имеет самые передовые и эффективные интернет-ограничения в мире, установленные правительством, и люди используют vpns для их обхода.

Еще один справедливый способ - разделить ширину полосы и разрешить каждому пользователю определенную сумму.

Это большая проблема и для крупных поставщиков услуг.

Идеального решения не существует.

Удачи в вашей сети

0
Xavier Nodet

Как объясняют другие, вы, скорее всего, не сможете предотвратить P2P-трафик. Но вы можете просто запретить это, объясняя пользователям (1), почему вы хотите запретить P2P, и (2) вы можете отслеживать происходящее и блокировать нарушителей (если, например, у каждого пользователя есть свой IP) ...

В более общем смысле, это проблема, которая лучше решается с помощью образования, чем технологии ...

Похожие вопросы