Назад | Перейти на главную страницу

Заблокировать скачивание p2p в моем офисе?

Ну, я не уверен, насколько это этично, но я уже отправил этот вопрос суперпользователю, и плакат предложил мне переместить его сюда. Очень жаль, если я разбиваю кому-нибудь сердце.

Во всяком случае, вот вопрос:

Я работаю в офисе образования в стране третьего мира. Мы платим за Интернет мегабайтами (другого выбора нет) и в последнее время используем невероятно большую пропускную способность. Это потому, что сотрудники офиса узнали о p2p-обмене. Насколько мне известно, Limewire - единственная программа, которую они используют, но я уверен, что открытие ими более общего мира BitTorrent - лишь вопрос времени.

Используя только маршрутизатор Linksys (который я мог бы прошить), могу ли я каким-либо образом предотвратить разрушение офисом нашего ограничения пропускной способности путем загрузки личных вещей (вопреки политике).

Даже полуисправления лучше, чем ничего.

Несколько примечаний, которые стали актуальными после получения некоторых ответов о суперпользователе:
1) У меня нет доступа ко всем компьютерам.
2) Добро пожаловать в бюрократию! Никто не может быть уволен. Реалистичных угроз не может быть. Это намного глубже, чем остановка p2p, но эй. Что ты можешь сделать? Кроме того, ни у кого дома нет интернета (дорого!), Так что они довольно кровожадны.
3) Любое решение должно быть более или менее автоматизировано. Примерно через 8 месяцев я уйду, а офис все равно захочет останавливать загрузки.
4) Одно решение, которое показалось действительно привлекательным (по предложению пользователя skuzzy-delta), заключалось в использовании прошивки Tomato для резкого снижения приоритета загрузок. К сожалению, мой linksys wrt54g слишком новый для прошивки ... но может ли pfsense или ddwrt сделать что-то подобное? Будет ли это хорошая тактика?

Вот ссылка на мой вопрос о суперпользователе: https://superuser.com/questions/66027/block-p2p-downloading-in-my-office

ОБНОВИТЬ:
1) Ничего не могу купить. Это означает, что я не могу настроить выделенный сервер.

2) У меня linksys - wrt54g cdfe .... v7 ... не могу запустить ddwrt :-(

я бы порекомендовал OpenDNS. Вы можете запретить людям обходить OpenDNS, заблокировав запросы TCP и UDP на порту 53.
Мы используем его здесь, и он очень хорош для остановки P2P, социальных сетей и других запрещенных сайтов.
Плюс, это не потребует никаких изменений в прошивке вашего роутера.

Во-первых, я не думаю, что вы сможете хорошо справиться с этим на широкополосном маршрутизаторе. Вам, вероятно, нужно посмотреть, как настроить Linux-сервер в качестве прокси-маршрутизатора межсетевого экрана. Кроме того, если вы сделаете это на компьютере, вы можете запустить кеш, который сэкономит вам полосу пропускания, поскольку страницы, посещаемые многими пользователями, нужно будет загрузить только один раз.

Блокировать P2P очень сложно. Большинство протоколов в наши дни, как правило, очень хорошо обходят брандмауэр.

  • Настройте брандмауэр, который по умолчанию отклоняет все исходящие запросы. Да, это очень жестко, но если вы действительно хотите заблокировать вещи, это дешевый способ начать
    • вам, вероятно, потребуется явно добавить правила для любых серверов, размещенных в вашей сети.
  • Настройте прокси HTTP (например, squid) и все браузеры для использования прокси-сервера.
  • Подпишитесь на черный список (например, 1, 2) и убедитесь, что вы запрещаете любые прокси.
  • Настройте что-то вроде SRG или sarg для создания отчетов для каждого пользователя / компьютера о том, кто что посещает и какую полосу пропускания они используют. Предоставьте администрации возможность просматривать эту информацию.
  • Используйте элементы управления внутри вашего прокси-сервера, чтобы задушить компьютеры (кальмар delay_pools)
  • Настройте для доверенных пользователей процедуру обхода политики запрета межсетевого экрана по умолчанию. (Но все же ведите журналы)

Я знаю, что приведенное выше является очень жестким, но оно блокирует почти весь P2P-трафик, и его не особенно сложно реализовать.

См. Следующие вопросы по теме:

DD-WRT будет работать на более новых версиях маршрутизаторов Linksys, которые Tomato не поддерживает. Быстрый поиск в базе данных маршрутизаторов DD-WRT скажет вам, совместим ли ваш маршрутизатор или нет. На странице ограничений доступа DD-WRT есть опция для блокировки известных протоколов p2p, это так же просто, как установить флажок.

Если вам удастся достать более старый ПК с двумя сетевыми картами, я бы посоветовал взглянуть на Распутать. Я обнаружил, что он отлично подходит для решения таких проблем, как ваша.

Если вы не можете заставить компьютер использовать, но у вас есть компьютер с Windows в сети, вы можете посмотреть Untangle для Windows. Я никогда не пробовал, но похоже, что это может сработать для вас.

Я думаю, что стоковая прошивка должна иметь достаточную защиту от блокировки портов, чтобы разрешать только необходимые порты.

Это вызов ...

Жаль, что вы не можете использовать Tomato, так как в него уже встроен модуль ipp2p iptables.

Мои предложения:

  • (если у вас есть компьютер с двумя сетевыми картами) установите Linux (или Windows, как уже предлагали некоторые) с iptables и ipp2p модуль для отмены приоритета или полной блокировки P2P-трафика;
  • поговорите со своим интернет-провайдером - возможно, они помогут вам заблокировать P2P-трафик;
  • Используйте wirehark для мониторинга P2P-соединений и отправки RST-пакетов на роутер / компьютер :)

Как бы странно это ни звучало, вы, вероятно, не захотите блокировать его, вы захотите дать ему строго ограниченную полосу пропускания. Большинство P2P-приложений довольно умно избегают блоков, поэтому, если все, что вы делаете, это блокируете стандартные порты, оно будет копаться, пока не найдет разблокированные порты и не воспользуется ими.

Но при наличии подходящего узкого канала (32 кбит / с, 64 кбит / с и т. Д.) Механизмы уклонения не срабатывают, в то же время ограничивая ущерб, который может нанести загрузка P2P.

Это может показаться излишним, но вы можете поставить прокси-сервер Squid перед маршрутизатором. Затем настройте белый список разрешенных протоколов - Http, Https, SSL и т. Д. Побочным эффектом является то, что вы можете уменьшить часть своей полосы пропускания, если Squid будет обслуживать кэшированный контент.

Самым строгим ограничением является размещение непрозрачного интернет-прокси перед вашими пользователями. Для этого им необходимо указать в своих браузерах ваш внутренний прокси-сервер. Преимущество этого заключается в том, что прокси-серверы с наибольшей аутентификацией с радостью сообщают об использовании пользователями и наиболее посещаемых сайтах. Просто опубликовать имена людей, которые больше всего пользуются Интернетом, может быть достаточно, чтобы запретить людям скачивать файлы вопреки политике.

Можете ли вы каким-то образом попытаться оправдать затраты на покупку небольшого количества дешевого оборудования, чтобы должным образом решить эту проблему, учитывая, что это приведет к значительной экономии затрат на пропускную способность?

И эта экономия затрат на полосу пропускания будет постоянной в месяц / год при единовременных расходах на оборудование.