iptables - как фильтровать торрент?

Если условие сформулировано так: «разрешено абсолютно всё, кроме торрента, который надо фильтровать ради недопущения», то ответ — «никак».

Мой клиент использовал с этой целью DPI. В общем почти работало, но регулярно выскакивали лажи. Чаще всего под нож попадали новые игры (или новые версии). В том числе потому, что для распространения апдейтов некоторые используют торрент, но объяснить закономерность результата потребителю не представляется возможным. Это приводило к занесению в «белые списки» всякой хрени типа близзардовских серверов WoW и т.п.

В каком-то обсуждении загрузки сети торрентами один из провайдеров говорил, что можно ловить по заголовкам пакетов, что-то в них специфическое есть.

Да, еще dlink dfl-260e умеет торренты фильтровать, но за подписку от касперского.

DPI -это что?

«Deep Packet Inspection»

Никак не отфильтруешь. Торрент использует рандомные порты и шифрование протокола, тут даже пресловутый DPI не поможет.

Я делал так: запретить все, кроме разрешенного. К примеру почту, FTP, HTTP, HTTPS. И все разрешенное через сквид (кроме HTTPS и почты).

level7 packet filtering

я боюсь сам ядро пересобирать с этим модулем.... или может есть в бинарниках? у меня suse 12.2 iptables v1.4.14

я не хочу совсем резать торренты, , только ограничить скорость на торренты, чтоб не забивали весь канал

Тогда шейпить трафик:
1) http://gomel.linux.by/howto/lartc/
2) http://www.tldp.org/HOWTO/Traffic-Control-HOWTO/
Сам все собираюсь такое сделать, только руки не доходят.

Еще забыл http://habrahabr.ru/post/133076/

тут хорошее обсуждение: http://forum.nag.ru/forum/index.php?showtopic=55025&st=0

Ровно на этом мой клиент и обгадился — шейпили торренты, в результате торренты как-то выживали, а ошибочно классифицированный как торрент трафик подыхал.

Посмотреть, вплоть до L7, что идет от пользователя, который пользуется например самым популярным клинетом - мюторрентом. Там должны быть специфичные вещи - при запросе пиров и что-нибудь еще. Да хотя бы ловить в http заголовках скачивание .torrent файлов.

Далее можно воспользоваться IDS Snort. Для вышенайденных специфичных вещей пишутся правила для Snort'a. И тут несколько вариантов:

1. Этим же snort'ом резать - то есть на срабатывание правила, при появлении alert'a делать reject.

2. Или самому написать правила для iptables.

3. Или конвертировать правила snort'a в правила iptables.

4. Можно написать костыли, для выполнения неких действий при появлении alert'ов snort'a - например блочить хост на некоторое время (тем же iptables)

Это мое видение как и что можно сделать. У меня не совсем похожая задача была, но тоже отлов некого трафика и выполнение неких действий при его поимке - как раз snort'ом ловил, дальше система костылей на bash'e, чтобы рулить динамическим фаерволлом.

Как-то так.

попробую snort, а вобще это работает: $IPTABLES -A FORWARD -i $LAN_IFACE -p tcp -s 192.168.1.114 -m connlimit --connlimit-above 15 -j DROP , и торрент качается, и только часть канала забирает а не весь,, так что как рецепт - сгодится,

смотри в сторону пакета OpenDPI, также можешь глянуть l7-filter или cnupm (я не разбирался). snort используется для поиска малваре и необычного трафика, но никак не торретов