Bloquear o tráfego P2P em um roteador Linksys WRT54G com firmware Tomato

6

Estou executando uma pequena rede sem fio (6 a 10 usuários) em um Linksys WRT54G com firmware Tomato compartilhando uma conexão com a Internet. Eu não quero que os usuários baixem arquivos com BitTorrent (usado principalmente) e outros aplicativos P2P.

Também encontrei algumas soluções para reduzir a prioridade do tráfego P2P usando QoS. Eu realmente preciso proibir o tráfego P2P.

Alguém sabe como configurar algumas regras para negar esse tipo de tráfego?

Eu tentei configurar uma regra de restrição de acesso:

No entanto, não está funcionando de jeito nenhum.

    
por Kami 10.11.2009 / 17:04

6 respostas

2

Uma forma de fazer isso de maneira indireta é usar o OpenDNS .

  1. Defina o servidor DNS nas configurações do seu roteador para os servidores OpenDNS (208.67.222.222 e 208.67.220.220)
  2. Crie uma conta no site do OpenDNS (gratuito) e siga as instruções em seu site como configurá-lo
  3. Em seguida, nas configurações da sua conta, escolha um nível de filtragem personalizado e selecione para bloquear "Compartilhamento de arquivos P2P". Se você quiser, pode bloquear outras categorias, eu definitivamente bloquearia "Phishing" e, dependendo das suas necessidades, você pode adicionar sites específicos como exceções ou ser bloqueado.

É uma maneira indireta de alcançar seu objetivo e provavelmente não é o que você estava procurando originalmente, mas funcionará e tem várias vantagens adicionais (por exemplo, bloquear alguns outros sites que você provavelmente deseja bloquear).

    
por 18.11.2009 / 16:50
3

Geralmente não é possível. Qualquer cliente bittorrent pode ser configurado para usar qualquer porta. Quase qualquer cliente bittorrent pode ser configurado para criptografar o tráfego bittorrent, desta forma fica mais difícil detectá-lo. Você ainda pode ter sucesso com uma política DENY padrão, permitindo apenas tráfego legítimo (como HTTP e HTTPS - conexões para as portas 80,443), mas isso é outra história.

    
por 15.02.2010 / 16:15
3

A melhor maneira que eu poderia chegar até agora é uma combinação de coisas:

  1. Use os servidores DNS OpenDNS e use sua categoria p2p para bloquear o acesso a sites p2p. Em Tomato, marque a caixa "Interceptar porta DNS (UDP 53)" em Avançado > DHCP / DNS para impedir que o usuário possa usar os próprios servidores DNS.
  2. No Tomato, crie uma regra de Restrição de Acesso, defina Porta / Aplicativo como "TCP / UDP, IPP2P: Todos os Filtros IPP2P" (isso bloqueará o tráfego p2p não criptografado)
  3. No campo Solicitação HTTP , inseri algumas palavras-chave bittorrent / emule comuns usadas em URLs. Isso impede que os usuários baixem arquivos .torrent, conectem-se a rastreadores que estejam usando endereços como tracker.xxx.com ou domain.com/scrape, etc. Minha lista no momento:
announce
torrent
tracker
scrape
peerates
peerbooter
gruk.org
emule-security.net
server.met
  1. Em Tomato, em Administração > Scripts > Firewall Eu adicionei algumas regras iptables para evitar que qualquer usuário abra muitas conexões. Eu também bloqueei algumas portas de bittorrent comumente usadas:
iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 50 -j DROP
iptables -I FORWARD -p ! tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 25 -j DROP

iptables -I FORWARD -p tcp --dport 6881:6999 -j REJECT
iptables -I FORWARD -p udp --dport 6881:6999 -j REJECT
    
por 17.01.2011 / 00:59
1

Para bloquear o P2P, consulte a Restrição de acesso do Tomato. Ele ajudará você a bloquear aplicativos por portas e pode até mesmo filtrar por dados contidos na solicitação HTTP. Você pode até mesmo bloquear coisas como o Active X e applets Java.

    
por 10.11.2009 / 17:08
1

Um usuário dedicado pode ignorar quaisquer restrições, mas você pode dificultar isso. Primeiro, você pode desativar plug n play para encaminhamento de porta e encaminhar apenas as portas que deseja, no entanto, no entanto, se fosse eu e eu fosse dedicado a passar, gostaria de definir o meu compartilhamento de arquivos para usar a porta 80 ou 443 e isso seria apenas totalmente F você. Você não pode bloquear essas portas e seria ainda pior para todos.

Outra maneira que você pode ir é permitir plug n play, olhar no log e ver com quais portas eles se conectam e configurar qos nessas portas, permitindo que eles tenham alguma largura de banda, mas definindo a prioridade mais baixa e mais alta para outro tráfego. quando alguém usa a internet, eles recebem prioridade e o compartilhador de arquivos tem algum compartilhamento de arquivos, mas não ocupa a largura de banda. Eles estarão menos motivados a contornar suas restrições. Também habilite ipp2p e layer7 para o compartilhamento, isto é para qos para compartilhamento de aplicativos. Algumas pessoas usam isso para bloquear o p2p, mas ele tem alguns aspectos negativos, além de afetar o tráfego regular, e o p2p também tem maneiras de contornar isso.

O problema com a proibição de acesso é que, se eles criptografam o compartilhamento, a filtragem tem pouco efeito. Um usuário com pouco conhecimento pode configurar uma VPN criptografada e não há como bloqueá-la ou limitá-la de qualquer maneira. Quando isso acontece, nenhuma proibição de palavras-chave, nenhuma filtragem e nenhum bloqueio de porta funcionarão, nenhuma palavra-chave de bloqueio faz a pesquisa. O tráfego é todo criptografado, seguro e privado. Como um exemplo de como isso é eficaz, a China tem as restrições de internet mais avançadas e eficazes do mundo criadas pelo governo e as pessoas usam vpns para contorná-las.

Outra forma justa de ir é dividir a largura da banda e permitir apenas que cada usuário tenha uma quantidade definida.

Esse também é um grande problema para os grandes provedores de serviços.

Não há solução perfeita.

Melhor sorte com sua rede

    
por 18.11.2011 / 09:37
0

Como os outros explicam, você provavelmente não será capaz de evitar o tráfego P2P. Mas você pode simplesmente proibir isso, explicando aos usuários (1) por que você quer banir o P2P e que (2) você pode monitorar o que está acontecendo, e pode bloquear os infratores (se, por exemplo, cada usuário tiver seu próprio IP) ...

Mais genericamente, este parece ser o tipo de problema que é melhor resolvido com a educação do que a tecnologia ...

    
por 05.10.2010 / 09:03