Единственное правильное техническое решение состоит в том, чтобы весь трафик проходил через прокси-сервер, который расшифровывает трафик SSL на лету, а затем применяет фильтрацию уровня 7 к проходящему трафику.
Такие продукты довольно дороги, поскольку за ними обычно стоит большая команда инженеров, которые обновляют правила, необходимые для классификации пакетов.
Вы можете немного помочь себе с модулями iptables, такими как ipp2p или l7-filter, как упоминалось выше, но они не будут перехватывать зашифрованный трафик.
В любом случае, технология очень редко является решением социальных проблем, и злоупотребление корпоративными / общедоступными / какими-либо сетями для p2p является социальной проблемой. Попробуйте поговорить со своими пользователями, заставить свою организацию создать соответствующие политики и применить к ним санкции. По моему опыту, это работает намного лучше, чем постоянная гонка вооружений с вашими пользователями.
Александар Иванишевич
источник
Хорошей практикой является блокировка общих портов трекера, таких как: 6881-6889 2710 6969
но это не поможет против трекеров, привязанных к 80 порту (т.е. tpb.tracker.thepiratebay.org). Так что блокировка всего, но 80,443,22 не поможет.
ipp2p - лучшее решение, которое я знаю. Смотрите раздел Документация / Использование
Про l7-фильтр. В комментарии bittorrent.pat говорится:
В системах BSD pf может применять действия в зависимости от количества состояний или соединений в секунду, поэтому вы можете помечать трафик, похожий на биттент, поскольку он быстро генерирует соединения. Прочтите руководство по iptables, возможно, оно тоже может.
источник
Существует модуль с именем IPP2P, который может обнаруживать и блокировать протоколы P2P: http://www.ipp2p.org/
источник
Простое решение - заблокировать все исходящие порты, кроме тех, которые вы хотите разрешить.
Кроме того, вы можете найти список портов, которые, вероятно, будут использоваться для обычных приложений P2P, и заблокировать их. Bittorrent имеет тенденцию разрешать загрузку очень ограниченного количества, только если вы не загружаете файлы, поэтому вам также следует убедиться, что вы не принимаете входящие соединения.
Может оказаться полезным настроить учетную запись IP-адреса на маршрутизаторе на основе используемого порта TCP, а затем выяснить, какой порт используется наиболее интенсивно. IPTraf - полезный инструмент для проверки этого.
Я должен предупредить вас, что вы никогда не остановите все; люди гениальны и найдут способ обойти любое ограничение, которое вы наложите. Большинство брандмауэров останавливают случайного пользователя, хотя этого может быть достаточно.
источник
Вы не можете полностью заблокировать P2P - если только вы не разрешите только «хорошие» TCP-порты 80, 443, 22 ... И даже этого обычно достаточно для компьютерных типов, у которых есть VPN и подобные вещи.
источник
bittorrent и большинство p2p в наши дни довольно уклончивы. Вместо того, чтобы блокировать трафик, используйте правила QOS, чтобы лишить клиентов, которые используют большую пропускную способность, или медленно обнулять трафик p2p до нуля в течение некоторого времени. Он не будет блокировать протокол, но будет сдерживать p2p'ы, что он настолько медленный, что не стоит этого делать.
Помните, что не все торрент-трафик плохой, а какой-то хороший! :-)
источник
Используйте эти правила пересылки iptables, чтобы отбрасывать битовый торрент-запрос и обнаружение одноранговых узлов. Они работали на меня.
Правила в действии, счетчик попаданий увеличивается прилично.
источник
BitTorrent
найдена в URL, она будет удалена? Это просто для того, чтобы предотвратить загрузку исходного торрент-файла, но как только торрент-файл уже загружен, это не будет блокировать битторрентный трафик, верно?Популярные программы туннелирования SSL, такие как Ultrasurf, позволяют пользователям легко обходить ваши брандмауэры. Чтобы заблокировать зашифрованный трафик bittornet, вам понадобится специализированное устройство UTM, которое может проверять и блокировать зашифрованные туннели, проходящие через http (s). Я знаю только об одном, кто способен сделать это - Astaro, но их должно быть больше.
источник
Вы можете использовать ip2p, как упоминалось ранее. Это не собирается блокировать вещи полностью как бы то ни было. В идеале, вы должны защищать от огня все порты, которые вы не используете, и использовать ip2p. Не идеальное решение, но лучшее, что вы можете получить.
источник
Вы не можете использовать прямую блокировку портов. Есть несколько альтернатив. Фильтр Layer7 работает медленно, ненадежно и, насколько мне известно, больше не поддерживается.
IPP2P в порядке, но был заменен OpenDPI, который теперь был прекращен спонсором ipoque (который продает PACE, коммерческий эквивалент). NDPI является логическим завершением этого небольшого пути: http://www.ntop.org/products/ НИПИ /
Самым простым и довольно эффективным является продолжение предложения Дэвида Пашли. Заблокируйте все порты и разрешите только то, что вам нужно, - и расширьте это, передав прокси те службы, которые вам нужны - например, с помощью веб-прокси и, возможно, внутреннего почтового сервера, которому разрешен порт 25, но клиенты общаются только с внутренним сервером. Таким образом, вы можете иметь клиентов, которым вообще не нужны открытые порты на брандмауэре. Это должно работать, но может начать рушиться, если вам нужно использовать какие-либо сложные и / или плохо написанные приложения, которым нужен прямой доступ.
источник
Ниже приведены мои правила iptables. Это работает как шарм. Я создал прозрачный прокси-сервер для перехвата https и отправляю весь трафик через этот прокси-сервер.
Используя эти правила iptables, я могу контролировать сеть.
Правило IPTables:
источник