Забанить торенты

Тут надо либо от жадности лечиться, либо юзеров в сетку не пускать.

А какой вред получаешь? Скорость падает? Интернет не безлимитный?

Ставить http прокси. И пускать через него только браузеры.

2710, 6881-7000 (UDP, TCP) порты закрыть любым межсетевым экраном.

Вред конкретный. Сетка ложится вся целиком под торрента. Юзвери бесятся, что скорость падает по самое нихочу. И жадность тут не причем. Шейпинг делать не хочу. Ибо тут вступает второй закон жадности. Неужели выход только один, отключать nat и пускать только по явно указанным портам? Так у юзверей такое количество экзотических программ, что все порты и не учтешь.

Битторентовские порты? Похоже самый адекватный ответ, завтра попробую. Подавляющее большинство юзает uTorrent.

http://www.ipp2p.org/

Я у себя в офисе сделал ограничение на количество соединений для одного ip в секунду 300 (выбирал эмпирически). Плюс справедливое деление полосы. Все ништяк.

На ночь ограничение на потоки снимается, можно качать торренты кому нужно.

Правда шлюз на FreeBSD + PF.

Шейпинг делать не хочу.

Ну тогда с помощью iptables hashlimit и recent создавайте ограничение на кол-во новых соединений в ед. времени и pps. За превышение блокировать на 10 минут — научатся отключать торренты.

Прокси

Ну так направь гнев юзеров на тех, кто не выключает торренты. Типа «если не нравится скорость интернета - иди и убеди того-то человека закрыть uTorrent».

попробуй сделать это через ndpi-netfilter

BT по портам ограничить не реально, только по содержимому.

увольнять. торрент-клиент не сам на машине появляется.

Так не важно. Сеть ляжет и без торрента. Тут надо что то, что будет распределять нагрузку. Либо урезать скорость тех, кто поглощает больше трафика. Тут и ютубчиком в full hd можно трафик забить, и сайтами с js и гифками.

Кстати, с http-прокси до сих пор торренты не работают? А то у нас одмины вроде все пооткрывали (самим хочется дома торренты завести), но фигвам.

Я вообще не понимаю, как работают торренты: почему ничего не качается через прокси? Как такое может быть?

IPP2P is not supported any longer. Please check OpenDPI.org!

OpenDPI is currently not available. For more information please contact sales@ipoque.com.

В OpenWRT модуль для иптаблеса есть прямо в репах (при текущей версии ведра 3.10), думаю, в каком-нибудь бубунтодебиане и уж тем более всяких гентоарчах - добыть его не проблема.

apt-get install module-assistant xtables-addons-source xtables-addons-dkms linux-headers-`uname -r` libtext-csv-xs-perl unzip
iptables -A FORWARD -m ipp2p --bit -j DROP

лучшее решение

наивный

у меня включено шифрование. моня такое забанит?

Обмен информацией по DHT и мюTP не шифруется, да и с трекерами тоже. Так что адреса и порты пиров можно обнаруживать.

теоретически xt_ndpi с bt_hash_size > 0 должен порезать почти все. размер bt_hash_size зависит от скорости трафика. Для 300мбитного трафика было достаточно bt_hash_size=8

iptables -A FORWARD -m ipp2p --bit -j DROP

лучшее решение

Согласен! Но проект ipp2p больше не поддерживается. Последние исходники под старое 2.6 ядро. Под 3.2 не компилится. :(

Давно не следил за темой, но пару лет назад это было невозможно в принципе.

Но у тебя ситуация другая. Просто подними прокси ( не прозрачный, обычный ) и запрети выход в интрернет напрямую. Если кто-то перенастроит и торрент клиент тоже, просто блокируй по ip адресу на прокси либо на сетевом оборудовании

Ну или введи в этой сетке жёсткий лимит на скорость и число соединений, пусть себе качают в 10 потоков на скорости диалапа

Перехватывай первое соединение каждого юзера по HTTP, как в публичных Wi-Fi сетях, и показывай страницу: «Если у вас включены программы для массового скачивания файлов, например, BitTorrent, выключите их на время работы в нашей сети, а то админ придёт и даст вам звезды так, что в глазах будут круглосуточные фильмы, никакого торрента не надо будет. Нажмите кнопку «Согласен» для продолжения».

Просто подними прокси ( не прозрачный, обычный )

Да прокся поднята, сквид крутится. Http соединения через проксю, остальные по явно указанным портам? Это не выход, или если быть точней, не очень удачный выход.

Перехватывай первое соединение каждого юзера по HTTP, как в публичных Wi-Fi сетях, и показывай страницу: «Если у вас включены программы для массового скачивания файлов, например, BitTorrent

Это у меня то же реализовано. К сквиду прикрутил редиректор rejik. При попытке зайти на страницу всяких там торрент сервисов, выдает страницу замещения с угрозами ))). Но как я писал в первом сообщении они приносят ноуты, где уже висит очередь и ждет своего часа. Я все же склоняюсь к ipp2p, сейчас ломаю голову как реализовать это.

При попытке зайти на страницу всяких там торрент сервисов, выдает страницу замещения с угрозами ))). Но как я писал в первом сообщении они приносят ноуты, где уже висит очередь и ждет своего часа.

Нет, я предлагал именно всем пользователям перед началом работы напоминать, чтобы выключили торренты.

IPP2P is not supported any longer. Please check OpenDPI.org!

OpenDPI is currently not available. For more information please contact sales@ipoque.com.

Вся суть опенсорса :)

Так не важно. Сеть ляжет и без торрента. Тут надо что то, что будет распределять нагрузку.

QoS

Время от времени в нашу сетку юзеры приносят ноуты

Ты *разрешаешь* в *твою* сеть подключать *чужие* ноуты? Недоадмин-омега-хипстер-нищеброд? Пиши заявление по собственному, пока не уволили с волчьим билетом по статье.

Всё-равно тебе бабла на управляемые свичи не выделят. Ты даже не сможешь обнаружить порт по которому идет «крамола», не говоря уж про то чтобы его погасить, т.к. на одном порту у тебя по десятку юзеров. И когда ты за шкирку к директору приведёшь провинившегося юзера, звиздюлей получишь *ты*. Ибо планида такая.

У нас за такое юзер лишится премии и будет вербально оттрахан отделом безопасности. Даже без моего участия.

Из-за таких вот терпил как ты, совершенно невозможно найти нормальную работу: либо ходить в собачьей удавке по корпоративным стандартам и, как с молитвы, начинать и заканчивать свой рабочий день боданием с «головой» по совершенно тупым вопросам, либо нищебродствовать и терпеть.

Кстати, если кому-то интересно.

Наиболее простой, и достаточно эффективный способ детектить торренты — поднять свой собственный retracker.local.

на рутрекере его перестали добавлять

Ты *разрешаешь* в *твою* сеть подключать *чужие* ноуты? Недоадмин-омега-хипстер-нищеброд? Пиши заявление по собственному, пока не уволили с волчьим билетом по статье.

Всё-равно тебе бабла на управляемые свичи не выделят. Ты даже не сможешь обнаружить порт по которому идет «крамола», не говоря уж про то чтобы его погасить, т.к. на одном порту у тебя по десятку юзеров. И когда ты за шкирку к директору приведёшь провинившегося юзера, звиздюлей получишь *ты*. Ибо планида такая.

У нас за такое юзер лишится премии и будет вербально оттрахан отделом безопасности. Даже без моего участия.

Из-за таких вот терпил как ты, совершенно невозможно найти нормальную работу: либо ходить в собачьей удавке по корпоративным стандартам и, как с молитвы, начинать и заканчивать свой рабочий день боданием с «головой» по совершенно тупым вопросам, либо нищебродствовать и терпеть.

Ты что больной? Не можешь найти работу, не берут? Иди поплачься в другом месте идиот! У нас холдинг, где каждый день приезжает много народу командировочные с других заводов. Но тебе ведь без разницы, на мир обиженный. Ты даже не удосужился тему перечитать.

nDPI как замена l7filter же

Ранее сообщали о DPI, сейчас как раз курю доку.

в моём универе, для подобных ситуаций просто ввели белый список портов и полностью запретили VPN(уж не знаю как)

О, расскажи, pls, как разрешить VPN через прокси?

С VPN у нас та же проблема: не могут одмины проксировать соединения по VPN ☹

У нас холдинг, где каждый день приезжает много народу командировочные с других заводов.

Вай-вай-вай! Я прям морально раздавлен.

Только по собственному опыту знаю, что «холдинг, где каждый день приезжают командировочные с других заводов» помимо ИБ, содержит еще и СБ. И обычно, ребята из СБ настолько суровы что могут душить даже беспроводным телефоном. Специфика обязывает. Так что не нужно врать: обычная говноконторка, настолько говняная что её даже по линии ИБ ни разу по-настоящему не буцкали, за ненадобностью.

Теперь объясняю как это должно быть. Для такого рода командировочных должна быть создана отдельная сеть. Желательно, физически изолированная от основной. Можно Wi-Fi, но обычно политики ИБ их безусловно запрещают. Желательно, с аутентификацией. Еще более желательно, с аутентификацией на нижних уровнях 802.1x, IPSec (но это намного сложнее).

Далее. Приглашающая сторона должна озаботиться составлением заявки в ИТ/ИБ. Он же ведь не *внезапно* к вам приехал, правда ведь? ИТ/ИБ подготавливает «гостевой» девайс, со всеми учётками, ключами, необходимым ПО и т.д. Если «гостевой» девайс не подходит (служебку с указанием причины от начальника сектора/отдела/управления/... нужное подчеркнуть, он же ведь не просто так приехал, а по конкретному заданию в конкретное подразделение), то специалист ИТ/ИБ производит проверку девайса, чистит от вирусняков и малвари, удаляет всякую фигню типа торрентов. После чего проводится инструктаж по ИБ: один листочек в котором написаны правила поведения. Во избежание непоняток, «гость» оставляет внизу свой автограф. За гостем закрепляется «старший». Резервным старшим по-умолчанию является начальник того подразделения в котором гость имеет удовольствие пребывать.

Если «понаехваший» попался «непонятливый», и не понимает с первого раза, то возникающие инциденты ИБ фиксируются и отрабатываются штатным образом. После чего по шапке получают все. В том числе и «старшие», которые вообще-то должны следить.

И ничего страшного в этом нет. Просто к данному моменту все «крупные холдинги» уже учёные, и инцидентами ИБ, и случаями корпоративного шпионажа, и кое-чем похуже.

Проблема только в том, что в этих крупных холдингах все ходят в собачьих удавках корпоративных цветов, улыбаются по корпоративным стандартам, и перемещаются исключительно по корпоративному расписанию. А поскольку ты этого не понял, то единственное что «крупное» в твоём «холдинге», так это ЧСВ руководства.

Я вообще не понимаю, как работают торренты: почему ничего не качается через прокси? Как такое может быть?

Качается, но поиск пиров только через трекер. Для поиска пиров без трекера нужен DHT, а он работает по udp, так что для него надо какие-то свои костыли придумывать, если он закрыт.

В итоге у всех vpn на 443?

да я то сам не знаю как, я же сам там учусь, просто общался с админом, который по совместительству преподом нашим был

ЗЫ там собственно ВПН редется на корню, даже внутри локалки создать нельзя

ну почти, ВПНы нельзя делать вообще, но ssh не проконтролирулиешь, в итоге простенький ssh-туннель на облако по 443му порту

2710, 6881-7000 (UDP, TCP) порты закрыть любым межсетевым экраном.

юзеры сразу на другой порт попрыгают.

Обмен информацией по DHT и мюTP не шифруется

ага. Но в Kademlia есть _вуалирование_, т.ч. обломайся.

Но подозреваю, что при каждом соединение номера портов меняются.

почитал тему. В твоём случае действительно нужно заблокировать стандартные порты 6881-7000, этим ты отсеешь 95%. Остальные 5% настолько ушлые, что на них проще забить(или решить вопрос административными методами).

установлено на debian 7. Kernel 3.2.0-4-amd