AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 1515
In Process
Dan
Dan
Asked: 2009-05-01 11:29:47 +0800 CST2009-05-01 11:29:47 +0800 CST 2009-05-01 11:29:47 +0800 CST

SOHO - 限制来自问题用户的 bittorrent 流量

  • 772

我在一个小办公室管理网络(软件开发是我的“真正的工作”),并且有几个用户通过运行 bittorrent 击败了我们的互联网连接。在上传端(20Mbps)的几乎严重影响和潜在责任之间,我想尽可能地关闭它。

预期问题或建议的一些快速细节:

  • 我们有 2 台路由器(1 台 Linksys,1 台 Buffalo)运行最新的 DD-WRT,一台 D-Link DIR-655 运行最新的工厂软件

  • 互联网是 FiOS 20/20 计划

  • 用户通过 WiFi 和有线连接,每个人都使用 DHCP

  • 购买真正可靠的新硬件(假设 < 1000 美元)是一种选择

  • 我们制定了互联网使用政策,是的,但我想通过 IT 尽可能多地执行它,因为我们都知道有些人就是无法遵守规则。是的,我知道处理这是一个社会问题,但这部分超出了我的权限/控制范围。

  • 常见的策略(完全阻止 MAC / IP 访问、阻止端口等)将不起作用。至少有 2 人定期在其以太网接口上重新编程 MAC 地址。

我知道 BT 客户端可以配置为使用其他端口,因此仅阻止标准 BT 端口范围是弱项。

我不敢相信我是第一个给这只猫剥皮的人。或者也许只有 IT 部门。用大设备预算能剥这只猫吗?

谢谢你的帮助!

firewall router qos bittorrent p2p
  • 11 11 个回答
  • 2712 Views

11 个回答

  • Voted
  1. pjz
    2009-05-01T11:37:03+08:002009-05-01T11:37:03+08:00

    如此处所述,在您的 DD-WRT 内容上启用 QoS 。将所有非端口 80/22/25/IMAP/POP 流量限制在非常小的带宽内,甚至将这些端口限制在合理的范围内,例如 2Mb/s 左右。

    然后去阅读BOFH,了解如何处理违规用户。

    • 4
  2. Justin Scott
    2009-05-01T11:39:32+08:002009-05-01T11:39:32+08:00

    你说得对,这确实是一个需要管理层解决的社会问题。如果某些人正在影响网络,以至于给其他人带来问题,那么他们需要被处理并解释如果他们继续这样做会产生什么后果。重新编程其 NIC 上的 MAC 地址?如果他们没有合法的需要这样做,那么您可能会考虑锁定您的 wifi 路由器和网络交换机以仅接受来自某些 MAC 地址的连接。如果他们改变它,他们就无法上网,并且突然MAC地址过滤/限制成为边界路由器的可能性。

    非标准端口的流量整形也可用于减少除标准 http、ftp、smtp 等之外的所有端口的可用带宽量。降低非标准应用程序的可用带宽量会使它们不太理想.

    边界路由器/防火墙的另一个选择是只允许某些端口用于出站流量,仅限于标准端口。考虑到您的环境,这可能可行,也可能不可行。

    • 4
  3. Element
    2009-05-01T13:00:07+08:002009-05-01T13:00:07+08:00

    如果它的小办公室告诉员工停止使用比特流或面临纪律处分,那么在小办公室的流量整形上花费金钱/时间似乎很荒谬......除非有一些你没有提到的特殊情况。

    我相信您办公室的经理会想知道为什么他们的员工有时间在上班时间设置 bittorent、更改他们的 mac 地址等...

    • 2
  4. Anonymous
    2009-07-16T21:57:38+08:002009-07-16T21:57:38+08:00

    如果您追求技术技巧而忽略社交方面,那么坏人会尝试其他技巧来避免限制。如果您要实现标记和塑造 bittorrent 流量的东西,他们将开始使用加密等。

    如果您只参加社交活动并开始对坏人大喊大叫,您将成为他们的敌人。特别是如果这不是你在那里的主要工作。例如,他们可能会认为你限制他们取悦老板。每天和讨厌你的人一起工作是可悲的。

    一种几乎不涉及暴力的非常有效的方法是监控网络使用情况。设置诸如 mrtg 之类的东西,并使办公室中的任何人都可以公开使用网络使用图。因此,一旦有人抱怨互联网速度慢 - 就派他去看看谁在浪费带宽。

    这样,您就不必单独与带宽消耗者作斗争。你甚至根本不需要战斗,好用户会吃坏用户。

    • 2
  5. EBGreen
    2009-05-01T11:49:08+08:002009-05-01T11:49:08+08:00

    如果您无权为此打他们一巴掌,而这样做的人也不愿意,那么您就很不走运了。是的,有一些技术方法可以解决这个问题。看来至少您的一些问题用户可能足够精明,可以避免您尝试的几乎任何技术解决方案。更糟糕的是,对于那种人,你现在已经隐含地确认他们可以这样做(因为没有管理层的回应),只要他们以一种避免你设置的障碍的方式去做。

    • 1
  6. Carlos Lima
    2009-05-09T11:43:24+08:002009-05-09T11:43:24+08:00

    你应该看看M0n0wall和pfSense。

    我相信 pfSense 的流量整形功能更好,这就是我建议的功能。

    不幸的是,文档非常稀缺,但是如果您稍微尝试一下,就不难弄明白。
    只需运行向导并从它将创建的规则中学习。另外,请查看此流量整形指南。

    虽然这不会解决您的社会问题,也不会是执行规则的最终解决方案,但我相信这是一个很好的中间立场。
    您可以允许他们使用带宽,同时确保其他更重要的事情不会受到影响。

    • 1
  7. K. Brian Kelley
    2009-05-09T12:27:12+08:002009-05-09T12:27:12+08:00

    您是否考虑过像 Squid 这样的网络代理?这可能是一种选择。我知道大男孩可以在数据包级别进行过滤。

    解决此问题的另一种方法是对每个工作站/笔记本电脑进行定期扫描,直至已安装。您会看到一个 BitTorrent 客户端,然后标记该用户。您可以通过在以下位置查询注册表来编写简单的东西:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

    • 1
  8. Kara Marfia
    2009-05-28T07:24:42+08:002009-05-28T07:24:42+08:00

    锁定这些机器 - 删除管理员权限。他们表现得像被宠坏的孩子,你唯一能做的就是那样对待他们。

    • 1
  9. cagcowboy
    2009-05-01T11:36:49+08:002009-05-01T11:36:49+08:00

    它不适用于老练的用户,但我曾经通过在 c:\Windows\system32\etc\hosts 中放置一个虚拟条目来阻止某些用户访问某个站点

    • 0
  10. Jim March
    2009-05-28T07:30:04+08:002009-05-28T07:30:04+08:00

    像 Cisco 871w 这样的 SOHO 路由器能够进行深度数据包检测。您将能够拒绝所有端口上的 P2P,而不会影响其他流量。

    Instant Messaging、RDP 等也是如此……一些即时消息客户端可以配置为通过端口 80 (HTTP) 发出,您不太可能阻止。但是像 Cisco 871w 这样的路由器实际上运行在更高级别的 OSI 模型上,可以检测通过端口 80 的流量是 HTTP 还是其他协议。

    • 0

相关问题

  • 设置安全网站的最佳实践 [关闭]

  • 是否可以/建议远程升级 DD-WRT 路由器?

  • 为什么要在路由器上运行 DD-WRT 固件?

  • 如何在 Ubuntu 上设置简单的防火墙?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    从 IP 地址解析主机名

    • 8 个回答
  • Marko Smith

    如何按大小对 du -h 输出进行排序

    • 30 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    Windows 中执行反向 DNS 查找的命令行实用程序是什么?

    • 14 个回答
  • Marko Smith

    如何检查 Windows 机器上的端口是否被阻塞?

    • 4 个回答
  • Marko Smith

    我应该打开哪个端口以允许远程桌面?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    MikeN 在 Nginx 中,如何在维护子域的同时将所有 http 请求重写为 https? 2009-09-22 06:04:43 +0800 CST
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    0x89 bash中的双方括号和单方括号有什么区别? 2009-08-10 13:11:51 +0800 CST
  • Martin Hope
    kch 如何更改我的私钥密码? 2009-08-06 21:37:57 +0800 CST
  • Martin Hope
    Kyle Brandt IPv4 子网如何工作? 2009-08-05 06:05:31 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve