Блокировка торренов в цепочке FORWARD

Например, по умолчанию запретить весь трафик, а разрешить только известные порты. Ну или ndpi, если осилишь.

Чем мешают пользовательские торренты? Может, их нужно не обрезать, а зашейпить?

Подскажите, каким образом блокировать торренты клиентов за натом?

нужно схему посторить так «дропать всё, разрешить нужное».
торенты емнип, рандомные порты используют.

Может, их нужно не обрезать, а зашейпить?

+1. Не вижу возможности заблокировать торренты, т.к. они используют произвольные порты. Если ограничить ширину канала и число одновременных соединений, торренты перестанут создавать проблемы

ограничить число одновременных соединений

Это чтобы все браузеры поотваливались?

Это чтобы все браузеры поотваливались?

на порты 53, 80, 443 (а также на ICMP) — не нужно вообще делать какие-либо ограничения. :)

шейпить и лимитировать — только по остаточному методу (всё остальное что точно не нужно :))

Ну в целом то да... Но торрент ведь умеет и эти порты тоже... А 53 порт зачем во вне открывать, если ты не провайдер?

Но торрент ведь умеет и эти порты тоже

Обычно, рандомные порты - это >1024.

А 53 порт зачем во вне открывать, если ты не провайдер?

Словосочетанию «открывать порты» технически не сильно грамотными людьми может даваться несколько значений, и каждый раз под этим понимают разное. В данном случае имелась в виду возможность указать адрес пользовательского DNS на пользовательской машине. К провайдингу отношения не имеет.

Не вижу большого смысла позволять пользователям локальной сети скажем офиса использовать свои DNS

У них там могут быть свои TLD, например. Такой публичный сервис уже, кстати, есть.

Ну я подчёркиваю, что речь идёт не о провайдере. А об офисе, и подобной конторе. - Сист. админу должно быть параллельно, что у них там TLD свои, или чего ещё... Ну даже если и есть свои TLD, что с того? Будут резолвить через корп. DNS

Ну в целом то да... ... А 53 порт зачем во вне открывать, если ты не провайдер?

Не вижу большого смысла позволять пользователям локальной сети скажем офиса использовать свои DNS

особого нет смысла. да.

ну малоли. я так уж .. на всякий случай написал :-)

для того чтобы пользователи могли бы достучаться до 8.8.8.8 и 2001:4860:4860::8888 или какие там у вас DNS — в случае когда локальный роутер сам НЕ умеет быть DNS-сервером.

если локальный роутер умеет сам resolve`ить DNS-имена — то можно даже на 53 не пускать (в FORWARD-цепочке)

Но торрент ведь умеет и эти порты тоже...

по умолчанию Торрент-клиент использует случайный порты.. а если пользователи сильно хитрые — то тогда они смогут организовать OpenVPN-тунель замаскированный под HTTPS (порт 443 тоже) :) .. и внутри него пускать любого рода трафик

OpenVPN-тунель замаскированный под HTTPS (порт 443 тоже) :) .. и внутри него пускать любого рода трафик

Да пусть пускают, если сделать squid, то в его отчётах рано или поздно вылезет ихний VPN сервер.

Словосочетанию «открывать порты» технически не сильно грамотными людьми может даваться несколько значений, и каждый раз под этим понимают разное.

разумеется разные значения :)

например, если речь идёт о морских судах — то порт нужно открыть чтоб корабль пришвартовался бы :-) ..

а если мы обговариваем какой LAN-компьютер куда пускать через роутер — то смысл становится соответствующим