Блокировать загрузку p2p в моем офисе?

8

Я работаю в офисе образования в стране третьего мира. Мы платим за интернет мегабайтом (другого выбора нет) и в последнее время используем невероятную пропускную способность. Это потому, что сотрудники офиса узнали о совместном использовании p2p. Насколько я знаю, Limewire - единственная программа, которую они используют, но я уверен, что это всего лишь вопрос времени, когда они откроют для себя более общий мир bittorrent.

Используя только маршрутизатор linksys (который я мог бы прошить), могу ли я как-то предотвратить предотвращение офисом ограничения пропускной способности, загружая личные вещи (против политики).

Даже полуфиксы будут лучше, чем ничего.

networking blocking p2p Эндрю
источник
1
твердый брандмауэр может заблокировать это ..
Укант
3
На этот вопрос также могут быть найдены хорошие ответы на serverfault.com, поскольку он звучит как типичная задача системного администратора (если, конечно, вы не найдете здесь удобной).
Gnoupi
(Третий мир - вы уверены? En.wikipedia.org/wiki/Third_World )
Арджан,
1
Limewire? Обучите их правильному использованию p2p, а затем скажите им не делать этого.
Phoshi
2
На самом деле я хотел сказать, что никто не должен больше использовать этот термин применительно к развивающимся странам. Но если даже кто-то, кто работает там, использует это и может улыбаться об этом, то, очевидно, я ошибаюсь. :-(
Арьян

Ответы:

6

Оба хороших ответа от satanicpuppy и cschreiner. Я добавлю свои 0,02 доллара. Если маршрутизатор linksys примет прошивку Tomato ( http://www.polarcloud.com/tomato ), вы можете использовать параметры Traffic Shaping / QoS для отмены приоритетов всего, что вы хотите. Я считаю, что Tomato QoS / Shaper работает лучше, чем все, что я пробовал (DDWrt и pfSense)

Я сейчас использую прошивку Tomato в несколько схожей ситуации, когда несколько человек используют одно соединение и платят за МБ использования.

My Linksys WRT54GL обычно имеет время безотказной работы около 60-120 дней, и это работает очень хорошо.

scuzzy-дельта
источник
+1, это тоже хороший путь. Когда вы не можете заблокировать, попытайтесь расставить приоритеты.
Ник
1
Итак, я войду в маршрутизатор, проверим наличие загрузок, а затем расставлю приоритеты? Означает ли это, что я должен продолжать проверять, или я могу заставить его автоматически расставлять приоритеты? Я не против работать, я просто хочу знать, будет ли это решение эффективным в мое отсутствие.
Андрей
Нет, наоборот. Для начала вы должны указать, какой трафик имеет приоритет и сохранить настройки. С этого момента маршрутизатор автоматически сделает это. Мне не пришлось присматривать за моей нынешней установкой почти год. Он просто сидит тихо и делает QoS. Действительно фантастический кусок программирования.
Scuzzy-Delta
1
Однако это позволит другим программам иметь лучшее подключение к Интернету только при необходимости, но не помешает потратить лишние мегабайты.
Gnoupi
2
Я бы следовал этой тактике, если ваш Linksys ее поддерживает, но в целом это ПОЛИТИЧЕСКОЕ действие, которое вы должны применить на рабочем месте.
Якуб
6

Я бы предложил двойную тактику:

  1. Установите правила, чтобы разрешить трафик только для определенных услуг по вашему выбору, таких как DNS, Интернет, https, ftp, почта и т. Д. Попытка заблокировать порты, используемые приложениями P2P, является проигрышной битвой, поскольку во многих случаях вы можете изменить порт используется в настройках приложения или переключиться на другое приложение.

  2. Другая вещь, которую нужно сделать, это поговорить с боссом или человеком, который принимает финансовые решения (если это не вы), и сделать это политикой, запрещающей это, и сообщить сотрудникам, что вы регистрируете то, что происходит, и кому-либо еще. использование P2P будет запущено. Не стоит тратить время на борьбу с постоянно растущей войной, чтобы найти надежный способ не позволить людям использовать P2P.

Я предлагаю брандмауэры SonicWall, которые могут быть как внутренними по отношению к любым правилам, так и имеют опции ведения журналов и отчетов. Упомянутая ранее прошивка для помидоров также может иметь эти возможности - я не очень знаком с ней.

ridogi
источник
1

Попробуйте opendns.com, зарегистрируйтесь, добавьте указанный вами IP-адрес, отметьте, что вы хотите заблокировать, и обязательно добавьте DNS-адреса OpenDNS к вашему маршрутизатору linksys ... обычно на первой странице маршрутизатора. Убедитесь, что у вас есть безопасный логин / pw, назначенный вашим linksys, и, конечно, хороший pw для opendns.

Перейдите сюда, чтобы получить инструкции для вашего роутера: https://store.opendns.com/setup/router/

Также ... если ваш провайдер предоставляет вам динамический IP-адрес, вам нужно будет проверить частоту смены IP-адреса и время от времени менять настройки, в противном случае вы ничего не блокируете при его изменении.

user16825
источник
Я не думаю, что OpenDNS будет работать. Лучшее, что он может сделать, это заблокировать веб-сайты, на которых можно найти торрент-файлы (например, piratebay) ... но это не остановит limewire, верно?
Андрей
Также не помешает кто-то отправить мне торрент-файл, который я могу дважды щелкнуть.
Мартин Маркончини
он может заблокировать торрент-клиенту поиск некоторых трекеров, но не помешает заменить их на прямые ip-адреса.
шарлатан-кихот
1

Если блокировка трафика p2p является реальной проблемой, вы можете получить настоящий межсетевой экран (Linux, OpenBSD и т. Д.). При правильной настройке (на самом деле это не так сложно, но вам придется много читать и играть на serverfault.com), вы можете заблокировать весь исходящий трафик, который вам не нужен, а также ограничить оставшийся исходящий трафик (который независимо от того, из P2P это всегда хорошая идея). Это требует времени и тестирования, но как только решение заработает, вам больше никогда не придется беспокоиться. Я работал с OpenBSD более двух лет без перерыва.

Как указано здесь, пользователи всегда будут находить новые способы пропускать трафик, но если вы будете сдерживать блокировку, даже если у них p2p, скорость будет ужасной, и они могут просто отказаться от идеи.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Я помню, у меня был пользователь, загружающий материал через какой-то странный порт, такой как сумасшедший. Таким образом, я установил приоритеты для ftp через порт 22 и начал загрузку 2 ГБ на полной скорости с этого места (что было очень близко, поэтому в данный момент скорость составляла «полную скорость» 200 к / с). Это «убило» остальную часть сети. Конечный результат: не только другие пользователи сети злились на этого человека за то, что он «убил» их интернет, но и пользователю пришлось остановиться, потому что скорость загрузки была ужасной. Я назвал «причиной» медленной сети, потому что его P2p-соединение убивало старый маршрутизатор. (Ложь).

Он прекратил свою деятельность.

;)

Мартин Маркончини
источник
0

Если правила исходящего брандмауэра вам не помогают (как я отметил в комментарии к другому ответу здесь),
следующим шагом будет рассмотрение фильтра на основе Snort .

Это будет немного сложнее и потребует дополнительных ресурсов и усилий.
Итак, посмотрите на это как на теоретическое предложение; если ничего не работает ...

  • Вы можете использовать установку на основе Windows или выбрать Linux
  • Вам нужно будет установить определенные правила, такие как этот, который останавливает Bittorrent
    • там будет «кривая обучения», когда вы найдете сигнатуры, которые работают для вас
  • Вы можете уменьшить другие сигнатуры, связанные с «вторжением», для повышения производительности.

Это лучшее, что я могу придумать в данных условиях.
Добавлю больше заметок, если я получу лучшие идеи - или, может быть, некоторые из них увеличат это с помощью лучшего решения.

Nik
источник
0

Должно быть довольно легко. Для большинства маршрутизаторов Linksys это будет примерно так: перейдите к интерфейсу администратора вашего маршрутизатора (просто наведите свой веб-браузер на маршрутизатор. Я думаю, что по умолчанию он равен 192.168.1.1, но вы должны иметь возможность узнать с вашего компьютера с помощью «tracert google.com»: маршрутизатор должен быть первой записью) и нажмите на вкладку с надписью «Ограничения доступа», и под ней вы увидите пару вкладок с надписью «Заблокированные службы» с кнопкой под говорит "Добавить / Редактировать Сервис"

Нажмите кнопку Добавить / Изменить и введите диапазон портов, которые вы хотите заблокировать. Limewire по умолчанию 6346.

К сожалению, готовые версии не позволяют осуществлять мелкозернистый контроль. Если вы опубликуете модель вашего роутера, я проверю наличие обновлений прошивки. Если вы можете найти что-то, что предлагает полную поддержку IPTables, вы можете создать белый список портов, который является лучшим способом ... Заблокируйте ВСЕ, кроме того, что вы хотите.

@Nik: Да, ты прав. Но это почти все, что вы можете сделать с помощью готовых Linksys. Настройка регулирования полосы пропускания и тому подобное требует настройки фактического прокси-сервера, а для этого в значительной степени требуется сервер и целый набор знаний (или куча наличных денег).

Если бы я собирался это сделать, я бы настроил прокси-сервер squid для регулирования контента , и если это не сработало, я бы просто подавил ад своих проблемных пользователей (или уволил их).

Satanicpuppy
источник
На самом деле эти вещи не работают так здорово. Через некоторое время люди «открывают» инструменты анонимного размещения / туннелирования, которые в конечном итоге занимают большую полосу пропускания для того же объема данных (шифрование, перенаправление P2P). Единственная хорошая вещь в этом - надеюсь, они будут обескуражены усилиями и дискомфортом этого пути. Но это не всегда работает.
Ник
0

Если вы управляете машинами в офисе, то вместо того, чтобы пытаться заблокировать порты на маршрутизаторе, почему бы вам просто не заблокировать приложение P2P в брандмауэре Windows?

Как это работает на уровне приложений, а не на уровне портов / протоколов. Затем приложение блокируется независимо от того, какой порт оно пытается использовать.

образ

Примечание. Если приложение не указано в списке, его можно добавить в список с помощью кнопки «Добавить программу» в нижней части этого окна.

harrymc
источник
Я должен был упомянуть об этом, но у меня нет доступа к каждому компьютеру.
Андрей