GNU/Linux >> Znalost Linux >  >> Linux

Jak blokovat torrenty nebo jakékoli P2P protokoly pomocí Linux IPTables?

Řešení 1:

Blokování P2P na základě portů je stěží 100% řešení. To, co možná budete chtít zvážit, se nazývá filtrování L7 (filtrování vrstvy 7). V zásadě má linux implementaci, která provádí párování na základě regulárních výrazů u všech paketů, aby se rozhodlo, co je dobré a co špatné.

http://l7-filter.sourceforge.net/

To vám může pomoci zablokovat všechny druhy věcí, včetně skype.

http://l7-filter.sourceforge.net/protocols

Poznámka:Porovnávání regulárních výrazů pro kontrolu a filtrování paketů je náročné na zdroje, takže jakýkoli systém je mnohem zranitelnější vůči útokům DDOS, preferovanou metodou by bylo zacílit protokol v rámci iptables.

Řešení 2:

Jediným správným technickým řešením je nechat veškerý provoz procházet přes proxy server, který bude provoz SSL za běhu dešifrovat a poté použít filtrování vrstvy 7 na projíždějící provoz.

Takové produkty jsou dost drahé, protože za nimi obvykle stojí velký tým inženýrů, kteří aktualizují pravidla potřebná pro klasifikaci paketů.

Můžete si pomoci iptables moduly sush jako dříve zmíněný ipp2p nebo l7-filter , ale nezachytí šifrovaný provoz.

V každém případě je technologie jen velmi zřídka řešením sociálních problémů a zneužívání firemních/veřejných/jakýchkoli sítí pro p2p je sociálním problémem. Zkuste si promluvit se svými uživateli, požádejte svou organizaci, aby vytvořila vhodné zásady a prosadila je pomocí sankcí. Podle mých zkušeností to funguje mnohem lépe než neustálé technologické závody ve zbrojení s vašimi uživateli.

Řešení 3:

Je dobrým zvykem zablokovat běžné sledovací porty jako:6881-688927106969

ale to nepomůže proti trackerům vázaným na 80 port (tj. tpb.tracker.thepiratebay.org). Takže blokování všech, ale 80 443 22 by nepomohlo.

ipp2p je nejlepší řešení, které znám. Viz sekce Dokumentace/Použití

O l7-filtru. V komentáři bittorrent.pat se píše:

Tento vzor byl testován a věříme, že funguje dobře. Nebude to však fungovat na bittorrentstreamech, které jsou šifrované, protože je nemožné porovnat (dobře) šifrovaná data.

V systémech BSD může pf aplikovat akce v závislosti na počtu stavů nebo připojení za sekundu, takže můžete označit provoz podobný bittotentu, protože rychle generuje připojení. Přečtěte si manuál iptables, možná to dokáže také.


Linux

  1. Jak zablokovat IP adresu na serveru Linux

  2. Jak zablokovat IP adresu na serveru Linux

  3. Jak ladit programy C v Linuxu pomocí gdb

  1. Jak blokovat místní podvržené adresy pomocí firewallu Linux

  2. Jak na to:Linux General – IPTtables obecně

  3. Jak monitorovat síťový provoz na Linuxu pomocí vnStat

  1. Jak monitorovat a protokolovat síťový provoz v systému Linux pomocí vnStat

  2. CentOS / RHEL :Jak blokovat příchozí a odchozí porty pomocí iptables

  3. Jak zjistím velikost bloku oddílu ext3 v systému Linux?