Блокировать загрузку p2p в моем офисе?

Question

Я работаю в офисе образования в стране третьего мира. Мы платим за интернет мегабайтом (другого выбора нет) и в последнее время используем невероятную пропускную способность. Это потому, что сотрудники офиса узнали о совместном использовании p2p. Насколько я знаю, Limewire - единственная программа, которую они используют, но я уверен, что это всего лишь вопрос времени, когда они откроют для себя более общий мир bittorrent.

Используя только маршрутизатор linksys (который я мог бы прошить), могу ли я как-то предотвратить предотвращение офисом ограничения пропускной способности, загружая личные вещи (против политики).

Даже полуфиксы будут лучше, чем ничего.

Answer 1

Я бы предложил двойную тактику:

1. Установите правила, чтобы разрешить трафик только для определенных услуг по вашему выбору, таких как DNS, Интернет, https, ftp, почта и т.д. Попытка заблокировать порты, используемые приложениями P2P, - проигрышная битва, так как во многих случаях вы можете изменить порт используется в настройках приложения или переключиться на другое приложение.

2. Другая вещь, которую нужно сделать, это поговорить с боссом или человеком, который принимает финансовые решения (если это не вы), и сделать это политикой, запрещающей это, и сообщить сотрудникам, что вы регистрируете то, что происходит, и кому-либо еще. использование P2P будет запущено. Не стоит тратить время на борьбу с постоянно обостряющейся войной, чтобы найти надежный способ удержать людей от использования P2P.

Я предлагаю брандмауэры SonicWall, которые могут быть как внутренними по отношению к любым правилам, так и имеют опции ведения журнала и отчетов. Упомянутая ранее прошивка для помидоров также может иметь эти возможности - я не очень знаком с ней.

Answer 2

Оба хороших ответа от satanicpuppy и cschreiner. Я добавлю свои 0,02 доллара. Если маршрутизатор linksys примет прошивку Tomato (http://www.polarcloud.com/tomato), вы можете использовать параметры Traffic Shaping/QoS для отмены приоритетов всего, что вы хотите. Я считаю, что Tomato QoS/Shaper работает лучше, чем все, что я пробовал (DDWrt и pfSense)

Я сейчас использую прошивку Tomato в несколько схожей ситуации, когда несколько человек используют одно соединение и платят за МБ использования.

My Linksys WRT54GL обычно имеет время безотказной работы около 60-120 дней, и это работает очень хорошо.

Answer 3

Если блокировка трафика p2p является реальной проблемой, вы можете получить настоящий межсетевой экран (Linux, OpenBSD и т.д.). При правильной настройке (на самом деле это не так сложно, но вам придется много читать и играть на serverfault.com), вы можете заблокировать весь исходящий трафик, который вам не нужен, а также ограничить оставшийся исходящий трафик (который независимо от того, из P2P это всегда хорошая идея). Это требует времени и тестирования, но как только решение заработает, вам больше никогда не придется беспокоиться. Я работал с OpenBSD более двух лет без перерыва.

Как указано здесь, пользователи всегда будут находить новые способы пропускать трафик, но если вы будете сдерживать блокировку, даже если у них p2p, скорость будет ужасной, и они могут просто отказаться от идеи.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Я помню, у меня был пользователь, загружающий материал через какой-то странный порт, такой как сумасшедший. Поэтому я установил приоритеты для ftp через порт 22 и начал загрузку 2 ГБ на полной скорости с этого места (что было очень близко, поэтому на данный момент скорость составляла «полную скорость» 200 к / с). Это «убило» остальную часть сети. Конечный результат: не только другие пользователи сети злились на этого человека за то, что он «убил» их интернет, но и пользователю пришлось остановиться, потому что скорость загрузки была ужасной. Я объяснил ему «причину» медленной сети, потому что его P2p-соединение убивало старый маршрутизатор. (Ложь).

Он прекратил свою деятельность.

;)

Answer 4

Попробуйте opendns.com, зарегистрируйтесь, добавьте свой идентифицированный IP-адрес, отметьте, что вы хотите заблокировать, и обязательно добавьте DNS-адреса OpenDNS к маршрутизатору Linksys ... обычно на первой странице маршрутизатора. Убедитесь, что у вас есть безопасный логин /pw, назначенный вашим linksys, и, конечно, хороший pw для opendns.

Перейдите сюда, чтобы получить инструкции для вашего роутера: https://store.opendns.com/setup/router/

Кроме того ... если ваш провайдер предоставляет вам динамический IP-адрес, вам нужно будет проверить частоту смены IP-адреса и время от времени изменять настройки, в противном случае вы ничего не блокируете при его изменении.

Answer 5

Должно быть довольно легко. Для большинства маршрутизаторов Linksys это будет примерно так: перейдите к интерфейсу администратора вашего маршрутизатора (просто наведите свой веб-браузер на маршрутизатор. Я думаю, что по умолчанию это 192.168.1.1, но вы должны быть в состоянии сказать с вашего компьютера, используя "tracert google.com": маршрутизатор должен быть первым входом) и нажмите на вкладку с надписью "Ограничения доступа" и под что вы должны увидеть пару вкладок с надписью "Заблокированные сервисы" с кнопкой под надписью «Добавить / Редактировать сервис»

Нажмите кнопку Добавить / Изменить и введите диапазон портов, которые вы хотите заблокировать. Limewire по умолчанию 6346.

К сожалению, готовые версии не позволяют осуществлять мелкозернистый контроль. Если вы опубликуете модель вашего роутера, я проверю наличие обновлений прошивки. Если вы можете найти что-то, что предлагает полную поддержку IPTables, вы можете сделать белый список портов, который является лучшим способом ...Заблокируйте ВСЕ, кроме того, что вы хотите.

@Nik: Да, ты прав. Но это почти все, что вы можете сделать с помощью готовых Linksys. Настройка регулирования полосы пропускания и тому подобное требует настройки фактического прокси-сервера, а для этого в значительной степени требуется сервер и целый набор знаний (или куча готовых денег).

Если бы я собирался это сделать, я бы настроил прокси-сервер squid для регулирования контента, и если это не сработало, я бы просто подавил ад своих проблемных пользователей (или уволил их).

Answer 6

Если правила исходящего брандмауэра вам не помогают (как я отметил в комментарии к другому ответу здесь),
Следующим шагом будет рассмотрение фильтра на основе Snort .

Это будет немного сложнее и потребует дополнительных ресурсов и усилий.
Итак, посмотрите на это как на теоретическое предложение; если ничего не работает ...

• Вы можете использовать установку на основе Windows, или выбрать окно Linux
• Вам нужно будет установить определенные правила, такие как этот, который останавливает Bittorrent
  • там будет «кривая обучения», когда вы найдете сигнатуры, которые работают для вас
• Вы можете уменьшить другие сигнатуры, связанные с «вторжением» для повышения производительности.

Это лучшее, что я могу придумать в данных условиях.
Добавлю больше заметок, если я получу лучшие идеи - или, может быть, некоторые из них увеличат это с помощью лучшего решения.

Answer 7

Если вы управляете машинами в офисе, то вместо того, чтобы пытаться заблокировать порты на маршрутизаторе, почему бы вам просто не заблокировать приложение P2P в брандмауэре Windows?

Как это работает на уровне приложений, а не на уровне портов / протоколов. Затем приложение блокируется независимо от того, какой порт оно пытается использовать.

Примечание. Если приложение отсутствует в списке, вы можете добавить его в список с помощью кнопки «Добавить программу» в нижней части этого окна.