SOHO - 限制来自问题用户的 bittorrent 流量

如此处所述，在您的 DD-WRT 内容上启用 QoS 。将所有非端口 80/22/25/IMAP/POP 流量限制在非常小的带宽内，甚至将这些端口限制在合理的范围内，例如 2Mb/s 左右。

然后去阅读BOFH，了解如何处理违规用户。

你说得对，这确实是一个需要管理层解决的社会问题。如果某些人正在影响网络，以至于给其他人带来问题，那么他们需要被处理并解释如果他们继续这样做会产生什么后果。重新编程其 NIC 上的 MAC 地址？如果他们没有合法的需要这样做，那么您可能会考虑锁定您的 wifi 路由器和网络交换机以仅接受来自某些 MAC 地址的连接。如果他们改变它，他们就无法上网，并且突然MAC地址过滤/限制成为边界路由器的可能性。

非标准端口的流量整形也可用于减少除标准 http、ftp、smtp 等之外的所有端口的可用带宽量。降低非标准应用程序的可用带宽量会使它们不太理想.

边界路由器/防火墙的另一个选择是只允许某些端口用于出站流量，仅限于标准端口。考虑到您的环境，这可能可行，也可能不可行。

如果它的小办公室告诉员工停止使用比特流或面临纪律处分，那么在小办公室的流量整形上花费金钱/时间似乎很荒谬......除非有一些你没有提到的特殊情况。

我相信您办公室的经理会想知道为什么他们的员工有时间在上班时间设置 bittorent、更改他们的 mac 地址等...

如果您追求技术技巧而忽略社交方面，那么坏人会尝试其他技巧来避免限制。如果您要实现标记和塑造 bittorrent 流量的东西，他们将开始使用加密等。

如果您只参加社交活动并开始对坏人大喊大叫，您将成为他们的敌人。特别是如果这不是你在那里的主要工作。例如，他们可能会认为你限制他们取悦老板。每天和讨厌你的人一起工作是可悲的。

一种几乎不涉及暴力的非常有效的方法是监控网络使用情况。设置诸如 mrtg 之类的东西，并使办公室中的任何人都可以公开使用网络使用图。因此，一旦有人抱怨互联网速度慢 - 就派他去看看谁在浪费带宽。

这样，您就不必单独与带宽消耗者作斗争。你甚至根本不需要战斗，好用户会吃坏用户。

如果您无权为此打他们一巴掌，而这样做的人也不愿意，那么您就很不走运了。是的，有一些技术方法可以解决这个问题。看来至少您的一些问题用户可能足够精明，可以避免您尝试的几乎任何技术解决方案。更糟糕的是，对于那种人，你现在已经隐含地确认他们可以这样做（因为没有管理层的回应），只要他们以一种避免你设置的障碍的方式去做。

你应该看看M0n0wall和pfSense。

我相信 pfSense 的流量整形功能更好，这就是我建议的功能。

不幸的是，文档非常稀缺，但是如果您稍微尝试一下，就不难弄明白。
只需运行向导并从它将创建的规则中学习。另外，请查看此流量整形指南。

虽然这不会解决您的社会问题，也不会是执行规则的最终解决方案，但我相信这是一个很好的中间立场。
您可以允许他们使用带宽，同时确保其他更重要的事情不会受到影响。

您是否考虑过像 Squid 这样的网络代理？这可能是一种选择。我知道大男孩可以在数据包级别进行过滤。

解决此问题的另一种方法是对每个工作站/笔记本电脑进行定期扫描，直至已安装。您会看到一个 BitTorrent 客户端，然后标记该用户。您可以通过在以下位置查询注册表来编写简单的东西：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

锁定这些机器 - 删除管理员权限。他们表现得像被宠坏的孩子，你唯一能做的就是那样对待他们。

它不适用于老练的用户，但我曾经通过在 c:\Windows\system32\etc\hosts 中放置一个虚拟条目来阻止某些用户访问某个站点

像 Cisco 871w 这样的 SOHO 路由器能够进行深度数据包检测。您将能够拒绝所有端口上的 P2P，而不会影响其他流量。

Instant Messaging、RDP 等也是如此……一些即时消息客户端可以配置为通过端口 80 (HTTP) 发出，您不太可能阻止。但是像 Cisco 871w 这样的路由器实际上运行在更高级别的 OSI 模型上，可以检测通过端口 80 的流量是 HTTP 还是其他协议。