由于 DMCA 删除通知,尝试阻止 Cisco ASA 5520 上客户端的 bitTorrent 流量。
ASA 软件:7.2 ASDM:5.2
该设备目前实际上仅用于 NAT 和 VPN。有没有简单的方法可以阻止此设备上的 bitTorrent TCP 端口 6881-6999?
答案1
我尝试过这样做,但遇到了一些问题。最大的问题是,如今大多数 bittorrent 客户端都会选择该范围之外的随机端口。仅阻止 6881-6999 是一个开始,但很容易被击败。即使您阻止所有 UDP 和高端口,客户端最终也会切换到端口 80 和 443(HTTP 和 HTTPS),大概您不想阻止这两个端口。
我还没有找到一个完全阻止 Bittorrent 的好方法。Bittorrent 已经发展并适应了各种阻止,并将继续逃避阻止它的尝试。我确信有一种方法可以使用深度数据包检测来识别和关闭它,但我还没有机会研究它。而且我不确定这种方法会有多成功,因为 Bittorrent 客户端现在默认使用加密。
我一直在我的 ASA 上使用此代码,至少能稍微缓解这种情况。我确信这会阻止其他有用的东西,但我没有收到任何用户的投诉。
object-group service Blocked-UDP-Ports udp
description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation)
port-object range 10001 65535
port-object range 1024 1193
port-object range 1195 9999
object-group service BitTorrent-Tracker tcp
description TCP Ports used by Bit Torrent for tracker communication
port-object eq 2710
port-object range 6881 6999
access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive
access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive
答案2
阻止这种情况的唯一简单方法是默认拒绝所有出站流量并允许特定端口提供服务。这很麻烦,但 bittorrent 客户端不会监听 1024 端口,因此 443 和 80 可以安全放行。dns、ssh、ftp、pop3、imap、sip、whois、telnet 也是如此。