使用 Linux IPTables,如何阻止种子或任何 P2P 协议?

使用 Linux IPTables,如何阻止种子或任何 P2P 协议?

在我们的机构中​​,我们将 300 多台计算机连接到不同的 LAN 和 Internet。其中包括 Offices LAN 和供学生使用的 Internet 实验室。我们想要控制 Torrent 或任何 P2P 协议。我们之前的解决方案是 KerioWinRoute 6.5.x,它满足了大多数人的需求。

问题是,我们已经使用 Webmin 平台迁移到 Ubuntu 8.04 LTS。

答案1

基于端口的 P2P 阻止几乎不是 100% 的解决方案。您可能需要考虑称为 L7 过滤(第 7 层过滤)的方案。基本上,Linux 有一个实现,它对所有数据包进行基于正则表达式的匹配,以决定哪些是好的,哪些是坏的。

http://l7-filter.sourceforge.net/

这可以帮助您阻止各种东西,包括 Skype。

http://l7-filter.sourceforge.net/protocols

请注意:使用正则表达式匹配来检查和过滤数据包是资源密集型的,这使得任何系统更容易受到 DDOS 攻击,首选方法是针对 iptables 中的协议。

答案2

唯一合适的技术解决方案是让所有流量都通过代理,该代理将即时解密 SSL 流量,然后应用第 7 层过滤在过往的车辆上。

此类产品非常昂贵,因为它们背后通常有一个庞大的工程师团队来更新对数据包进行分类所需的规则。

iptables您可以像前面提到的那样使用 sush 模块ipp2p或来帮助自己l7-filter,但它们不会捕获加密流量。

无论如何,技术很少能解决社会问题,滥用企业/公共/任何网络进行 p2p 都是社会问题。尝试与您的用户交谈,让您的组织制定适当的政策并实施制裁。根据我的经验,这比与您的用户进行持续的技术军备竞赛要有效得多。

答案3

有一个名为IPP2P的模块可以检测并阻止P2P协议:http://www.ipp2p.org/

答案4

你无法阻止 P2P完全地——除非您只允许“好的” TCP 端口 80、443、22......而这对于拥有 VPN 和类似东西的计算机爱好者来说通常就足够了。

相关内容