настроить iptables для блокировки всего (насколько это возможно) битторрент-трафика

Question

всем хорошего дня

Это моя текущая настройка iptables

Сгенерировано iptables-save v1.4.7 в среду, 9 апреля 13:50:31 2014

* фильтр:INPUT DROP [0:0]:FORWARD DROP [0:0]:OUTPUT ACCEPT [0:0]:LOGDROP - [0:0]

-A ВХОД -p tcp -m tcp --dport 5252 -m комментарий --комментарий "SSH_Secure Input" -j ПРИНЯТЬ

-A ВХОД -p tcp -m tcp --dport 22 -m комментарий --комментарий "Вход SSH" -j ПРИНЯТЬ

-A ВХОД -p tcp -m tcp --dport 80 -m комментарий --комментарий "HTTP Input" -j ПРИНЯТЬ

-A ВХОД -i eth0 -p tcp -m tcp --dport 443 -m комментарий --комментарий "HTTPS Input" -j ПРИНЯТЬ

-A ВХОД -i tun0 -j ПРИНЯТЬ

-A ВВОД -i eth0 -j ПРИНЯТЬ

-A INPUT -p icmp -m icmp - тип -icmp 8 -m состояние --state НОВОЕ, СВЯЗАННОЕ, УСТАНОВЛЕННОЕ -j ПРИНЯТЬ

-A ВВОД -i lo -j ПРИНЯТЬ

-A ВХОД -m состояние - СОСТОЯНИЕ СВЯЗАННЫЕ, УСТАНОВЛЕННЫЕ -j ПРИНЯТЬ

-A ВПЕРЕД -o tun0 -j ПРИНЯТЬ

-A ВПЕРЕД -o eth0 -j ПРИНЯТЬ

-A ВПЕРЕД -m строка - строка "BitTorrent" --algo bm --to 65535 -j LOGDROP

-A FORWARD -m строка - строка "Протокол BitTorrent" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string "peer_id =" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string ".torrent" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string "announce.php?passkey = "--algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка - строка "torrent" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string "announce" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка - строка "info_hash" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string "get_peers" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string "announce_peer" --algo bm --to 65535 -j LOGDROP

-A ВПЕРЕД -m строка --string "find_node" --algo bm --to 65535 -j LOGDROP

-A ВЫХОД -o eth0 -p tcp -m tcp --dport 443 -m комментарий --комментарий "HTTPS Input" -j ПРИНЯТЬ

-A ВЫХОД -o tun0 -j ПРИНЯТЬ

-A ВЫХОД -o eth0 -j ПРИНЯТЬ

-A ВЫХОД -p icmp -m icmp --icmp-type 0 -m состояние - СОСТОЯНИЕ, УСТАНОВЛЕНО -j ПРИНЯТЬ

-A LOGDROP -j LOG - журнал-префикс "LOGDROP"

-A LOGDROP -j DROP COMMIT

Завершено в среду, 9 апреля 13:50:31 2014

Сгенерировано iptables-save v1.4.7 в среду, 9 апреля 13:50:31 2014

* nat:PREROURING ACCEPT [2121:189137]

ПОДТВЕРЖДАЮТ ПРИНЯТЬ [18:1030]:ВЫХОДИТЬ ПРИНЯТЬ [18:1030]

-A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

COMMIT

Завершено в среду, 9 апреля 13:50:31 2014

У меня есть сервер Centos 6 под управлением openvpn,

причина, по которой я хочу сделать это, у меня есть клиенты, подключающиеся, и так как они много загружают и никогда не отключаются от vpn, когда это не нужно, я трачу много времени на использование полосы пропускания и, таким образом, накладываю большие расходы

Там, где правила iptables начинаются с «-A FORWARD -m string» и всех «log /logdrops», я получил эти правила с веб-сайта (из которого могут быть веб-сайты, ссылающиеся на одни и те же правила для блокировки торрент-трафика), только проблема в том, что он не блокирует трафик

Я подключился к vpn, я запустил несколько торрентов, и они не замедлили загрузку, как будто я не был подключен к vpn ...

Пожалуйста помоги

Answer 1

Это другой подход, но я успешно «защитил» свою домашнюю сеть от p2p (и других вещей), разрешив только 2 удаленных порта (tcp 443+80) и используя opendns FamilyShield DNS (208.67.222.123,208.67.220.123), который блокирует много веб-сайтов, поэтому у меня есть локальная настройка DNS / resolver / cache (dnsmasq) в моей домашней сети, где я могу добавлять исключения.