Блокировка P2P-трафика на маршрутизаторе Linksys WRT54G с прошивкой Tomato

Question

Я использую небольшую беспроводную сеть (от 6 до 10 пользователей) на Linksys WRT54G с микропрограммой Tomato, подключенной к Интернету. Я не хочу, чтобы пользователи загружали файлы с помощью BitTorrent (в основном используется) и других приложений P2P.

Я также нашел несколько решений по снижению приоритета трафика P2P с помощью QoS. Мне действительно нужно запретить трафик P2P.

Кто-нибудь знает, как настроить некоторые правила, чтобы запретить такой трафик?

Я пытался настроить правило ограничения доступа:

Однако это не работает вообще.

Answer 1

Лучший способ, которым я мог придумать до сих пор, - это сочетание вещей:

1. Используйте DNS-серверы OpenDNS и используйте их категорию p2p, чтобы заблокировать доступ к сайтам p2p. В Tomato установите флажок «Перехватывать порт DNS (UDP 53)» в разделе « Дополнительно» > « DHCP / DNS», чтобы пользователь не мог использовать собственные DNS-серверы.
2. В Tomato создайте правило ограничения доступа, задайте для порта / приложения значение «TCP / UDP, IPP2P: все фильтры IPP2P» (это заблокирует незашифрованный трафик p2p).
3. В поле HTTP Request я ввел несколько общих ключевых слов bittorrent / emule, используемых в URL. Это не позволяет пользователям загружать файлы .torrent, подключаться к трекерам, которые обычно используют адреса, такие как tracker.xxx.com или domain.com/scrape, и т.д. Мой список на данный момент:

announce
torrent
tracker
scrape
peerates
peerbooter
gruk.org
emule-security.net
server.met

4. В Tomato в разделе Администрирование > Сценарии > Брандмауэр я добавил пару правил iptables, чтобы запретить любому пользователю открывать слишком много соединений. Я также заблокировал некоторые часто используемые битторрентные порты:

iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 50 -j DROP
iptables -I FORWARD -p ! tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 25 -j DROP

iptables -I FORWARD -p tcp --dport 6881:6999 -j REJECT
iptables -I FORWARD -p udp --dport 6881:6999 -j REJECT

Answer 2

Обычно это невозможно. Любой битторрент-клиент может быть настроен на использование любого порта. Почти любой битторрент-клиент может быть настроен на шифрование битторрент-трафика, поэтому его становится сложнее обнаружить. Вы все еще можете преуспеть с политикой DENY по умолчанию, разрешающей только законный трафик (например, HTTP и HTTPS - соединения с портами 80,443), но это другая история.

Answer 3

Одним из способов сделать это косвенным путем является использование OpenDNS.

1. Установите DNS-сервер в настройках вашего маршрутизатора на серверы OpenDNS (208.67.222.222 и 208.67.220.220)
2. Создайте учетную запись на веб-сайте OpenDNS (это бесплатно) и следуйте инструкциям на их веб-сайте, как ее настроить.
3. Затем в настройках вашей учетной записи выберите пользовательский уровень фильтрации и выберите, чтобы заблокировать «P2P/ Общий доступ к файлам». Если вы хотите, чтобы вы могли блокировать другие категории, я бы определенно заблокировал "Фишинг", и в зависимости от ваших потребностей вы можете добавлять определенные сайты в качестве исключений или блокировать.

Это косвенный способ достижения вашей цели и, вероятно, не то, что вы изначально искали, но он будет работать и имеет ряд дополнительных преимуществ (например, блокирование некоторых других веб-сайтов, которые вы, вероятно, хотите заблокировать).

Answer 4

Для блокировки P2P, посмотрите в Ограничение доступа Tomato. Это поможет вам блокировать приложения по портам, и вы даже можете фильтровать данные, содержащиеся в HTTP-запросе. Вы даже можете блокировать такие вещи, как Active X и Java-апплеты.

Answer 5

Выделенный пользователь может обойти любые ограничения, но вы можете усложнить это. Во-первых, вы можете отключить функцию Plug n Play для переадресации портов и только переадресации портов, через которые вы хотите, однако, однако, если бы это был я, и я был выделен, я бы просто настроил общий доступ к файлам, чтобы использовать порт 80 или 443, и это просто F F Up. Вы не можете заблокировать эти порты, и это было бы еще хуже.

Другой способ, которым вы можете воспользоваться, - это разрешить plug n play, посмотреть в журнале и посмотреть, с какими портами они соединяются, затем настроить qos на этих портах, предоставить им некоторую пропускную способность, но установить для нее самый низкий приоритет и самый высокий для другого трафика, таким образом, когда кто-то использует в Интернете они получают приоритет, и у файлообменника будет какой-то общий доступ к файлам, но он не увеличит пропускную способность. Они будут менее мотивированы, чтобы обойти ваши ограничения. Также включите ipp2p и layer7 для их совместного использования, это для qos для совместного использования приложений. Некоторые люди используют это, чтобы заблокировать p2p, но у него есть некоторые недостатки, которые также влияют на регулярный трафик, и p2p также имеет способы обойти это.

Проблема с запретом доступа заключается в том, что если они шифруют свой общий доступ, фильтрация оказывает незначительное влияние. Пользователь с небольшими знаниями может установить зашифрованный vpn, и нет способа заблокировать его или каким-либо образом ограничить. Как только это произойдет, не будет работать запрет на ключевые слова, фильтрация и блокировка портов, а также поиск по ключевым словам. Весь трафик зашифрован, безопасен и приватен. В качестве примера того, насколько это эффективно, Китай имеет самые передовые и эффективные интернет-ограничения в мире, установленные правительством, и люди используют vpns для их обхода.

Еще один справедливый способ - разделить ширину полосы и разрешить каждому пользователю определенную сумму.

Это большая проблема и для крупных поставщиков услуг.

Идеального решения не существует.

Удачи в вашей сети

Answer 6

Как объясняют другие, вы, скорее всего, не сможете предотвратить P2P-трафик. Но вы можете просто запретить это, объясняя пользователям (1), почему вы хотите запретить P2P, и (2) вы можете отслеживать происходящее и блокировать нарушителей (если, например, у каждого пользователя есть свой IP) ...

В более общем смысле, это проблема, которая лучше решается с помощью образования, чем технологии ...