使用 Tomato 固件阻止 Linksys 路由器 WRT54G 上的 P2P 流量

间接实现此目的的一种方法是使用开放DNS。

1. 将路由器设置中的 DNS 服务器设置为 OpenDNS 服务器（208.67.222.222 和 208.67.220.220）
2. 在 OpenDNS 网站上创建一个帐户（免费），然后按照网站上的说明进行配置
3. 然后在您的帐户设置中选择自定义过滤级别，并选择阻止“P2P/文件共享”。如果您愿意，您可以阻止其他类别，我肯定会阻止“网络钓鱼”，并且根据您的需要，您可以添加特定网站作为例外或被阻止。

这是实现目标的间接方式，可能不是您最初想要的，但它会起作用并具有许多其他优点（例如，阻止您可能想要阻止的一些其他网站）。

一般来说这是不可能的。任何 bittorrent 客户端都可以设置为使用任何端口。几乎任何 bittorrent 客户端都可以设置为加密 bittorrent 流量，这样就更难检测到它了。您可能仍会使用默认的 DENY 策略成功，只允许合法流量（如 HTTP 和 HTTPS - 连接到端口 80,443），但那是另一回事。

到目前为止我能想到的最好的方法是将以下几种方法结合起来：

1. 使用 OpenDNS DNS 服务器并使用其 p2p 类别来阻止对 p2p 站点的访问。在 Tomato 中，勾选“拦截 DNS 端口 (UDP 53)”框先进的>DHCP / DNS以防止用户使用自己的 DNS 服务器。
2. 在 Tomato 中，创建访问限制规则，设置端口 / 应用程序到“TCP/UDP，IPP2P：所有 IPP2P 过滤器”（这将阻止未加密的 p2p 流量）
3. 在里面HTTP 请求字段中我输入了一些 URL 中常用的 bittorrent/emule 关键字。这可以防止用户下载 .torrent 文件、连接到通常使用 tracker.xxx.com 或 domain.com/scrape 等地址的跟踪器等。我目前的列表：

宣布
激流
追踪器
刮
贵族
引导程序
gruk.org
emule安全网
服务器

4. 在番茄下行政>脚本>防火墙我添加了一些 iptables 规则，以防止任何用户打开过多的连接。我还阻止了一些常用的 bittorrent 端口：

iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 50 -j DROP
iptables -I FORWARD -p !tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 25 -j DROP

iptables -I FORWARD -p tcp --dport 6881：6999 -j REJECT
iptables -I FORWARD -p udp --dport 6881：6999 -j REJECT

专职用户可以绕过任何限制，但您可以让这变得困难。首先，您可以禁用即插即用端口转发，只转发您想要通过的端口，但是如果是我，并且我专心致志地想要通过，我会将我的文件共享设置为使用端口 80 或 443，这完全会搞砸您。您无法阻止这些端口，这对每个人来说都会更糟。

另一种方法是允许即插即用，查看日志并查看它们连接的端口，然后在这些端口上设置 qos，允许它们使用一些带宽，但将其设置为最低优先级，将其他流量设置为最高优先级，这样当有人使用互联网时，他们就会获得优先级，文件共享者将进行一些文件共享，但不会占用带宽。他们将不太愿意绕过您的限制。还为他们的共享启用 ipp2p 和 layer7，这是为共享应用程序提供的 qos。有些人使用它来阻止 p2p，但它也有一些负面影响，影响常规流量，而 p2p 也有办法解决这个问题。

禁止访问的问题在于，如果他们加密共享，过滤就没有什么效果。知识不多的用户可以设置加密的 VPN，并且无法以任何方式阻止或限制它。一旦发生这种情况，关键字禁止、过滤和端口阻止都不起作用，关键字搜索也无法阻止。流量都是加密的、安全的和私密的。为了说明这种方法有多么有效，中国拥有世界上最先进、最有效的互联网限制，这些限制由政府设立，人们使用 VPN 来绕过它们。

另一个公平的方法是划分带宽并只允许每个用户使用一定量的带宽。

对于大型服务提供商来说，这也是一个大问题。

没有完美的解决方案。

祝你的网络好运