iptables to block torrent

2

4

Люди!

Кроме совета юзать squid в корпоративной сети, какие мысли будут блочить torrent-трафик средствами iptables?

Есть пара решений, но они, скорее половинчатые, нежели рабочие :)

Благодарю за понимание.

Ссылка

←	Вопрос по пробросу портов.

Установка skimage и cv2 для python 2.6 на CentOS 6.5

→

все закрыть, и открыть только то, что можно

afanasiy ★★★★
(11.02.14 16:34:16 MSK)

Ссылка

юзать squid в корпоративной сети

Лично я ничего лучше не придумал.

~~King_Carlo~~ ★★★★★
(11.02.14 16:36:59 MSK)

Ссылка

разреши исходящие запросы только на 80 и 443 порт

ii343hbka ★★★
(11.02.14 16:41:40 MSK)

Ссылка

какие мысли будут блочить torrent-трафик средствами iptables

Выгравировать ман по iptables на бейсбольной бите, потом перестать страдать фигнёй и нормально объяснить персоналу политику компании и меры воздействия, которые грозят нарушителям.
Если же торренты никому не мешают и не влияют на эффективность труда, то вообще ничего не делать.

zolden ★★★★★
(11.02.14 16:44:52 MSK)

Ответ на: комментарий от zolden 11.02.14 16:44:52 MSK

Хахаха :)

Спасибо ребят. Ну уж очень бы хотелось iptables заюзать. Знаю, что squid спасёт.

milkynex
(11.02.14 16:47:16 MSK) автор топика

Ссылка

разрешить только исходящие соединения на нужные порты

vxzvxz ★★★
(11.02.14 16:47:57 MSK)

Ответ на: комментарий от vxzvxz 11.02.14 16:47:57 MSK

разрешить только исходящие соединения на нужные порты

тогда вопрос почему одним FORWARD DROP не получается ограничиться.

milkynex
(11.02.14 16:52:43 MSK) автор топика

Можешь или пользовать всякие модули для iptables которые умеют DPI и понимать что там torrent - но это унылое занятие, они очень устарели, и никому это не надо. Может можно ещё накрутить количество tcp/udp соединений, после превышения которых будет происходить REJECT... Но это всё - да... Полумеры. Ты говоришь сейчас о ПРИКЛАДНОМ уровне, тогда как iptables это утилита более низкого уровня.

DALDON ★★★★★
(11.02.14 17:02:07 MSK)

Ссылка

Ответ на: комментарий от milkynex 11.02.14 16:52:43 MSK

Потому как iptables уровнем ниже торрентов. Он рулит в общем случае только установкой и контролем tcp/udp сессий.

DALDON ★★★★★
(11.02.14 17:03:26 MSK)

Ссылка

Запрети всё и разреши только то, что нужно. Никакие DPI не спасут от шифрованного torrent трафика (на то он и шифрованный).

Black_Shadow ★★★★★
(11.02.14 18:31:24 MSK)

Ссылка

Знаете, у вас подход, как у некоторых псевдоврачей - вместо лечения болезней начинают бороться с симптомами.

К чему это я? Ах да, определитесь с причинами необходимости резать. Включу телепата и предположу, что их может быть две - не хватает ресурсов (скорости) на всех или организационная (начальство не хочет, чтоб люди фигнёй маялись на рабочем месте). Так вот, весь вопрос заключается в том, какая причина основополагающая.

Если первая - то резать необязательно, всё решается умным шейпером (связка tc+iptables), который будет управляем по параметрам длительнсоть сессии, количество пакетов в секунду и средний размер пакета в сессии (именно по таким характеристикам эффективно разделяется трафик на группы: закачка, мультимедия, серфинг), для уточнения, потребуется маркировка пакетов, hashlimit и connbytes в iptables.

Если причина вторая, организационная - то реальное и эффективное решение, это блокировка всего, кроме разрешённого (в этом конкретном случае прокси, squid).

Конкретно по вашему вопросу - потребуется достаточно мощная машинка для программной обработки средствами DPI (обычно, такое делается на железном уровне, с соответствующим ценником на оборудование).

nickleiten ★★★
(12.02.14 06:05:57 MSK)