alexus Asked: 2009-07-29 08:18:42 +0800 CST2009-07-29 08:18:42 +0800 CST 2009-07-29 08:18:42 +0800 CST 通过防火墙阻止 Torrent 772 有没有办法阻止防火墙级别的用户使用种子? firewall bittorrent 9 个回答 Voted William Hilsum 2009-07-29T08:31:05+08:002009-07-29T08:31:05+08:00 大多数商业防火墙只阻止传入,它们允许所有传出,有时这足以让种子以最低速度运行。 如果您需要阻止它,您可以做的最好的事情是阻止路由器上的所有传出,不包括需要的项目,例如 smtp、pop3、http、https。 此外,阻止 UPnP,因为这动态地允许客户端分配/制定传出/传入连接规则。 Best Answer Joseph 2009-07-29T11:15:44+08:002009-07-29T11:15:44+08:00 深度数据包检查是要走的路。必须检查流量才能有效地阻止它。但是,如果使用加密,则所有赌注都将失败。 您可以尝试查看Untangle。听起来它可以做你想做的事。 djangofan 2009-07-29T11:03:26+08:002009-07-29T11:03:26+08:00 您可以使用 Squid 代理服务器或 Smoothwall 防火墙设备。这些会起作用,因为流量整形需要使用“深度数据包检测”来检测协议类型。 如果您不知道如何阻止流量,那么您还有 2 个选择: 通过 IP 限制带宽 通过 IP限制入站连接的数量(这会减慢 Torrent 的爬行速度)。 Ben Quick 2009-07-29T10:33:38+08:002009-07-29T10:33:38+08:00 您的默认防火墙规则应该是拒绝任何方向的所有流量 其他规则应在预先要求的基础上添加。例如,应允许您的 DNS 服务器从专用网络在 Internet 上执行 DNS 查找,但可能不允许其他计算机。应该允许您的 HTTP 代理服务器在端口 80 和 443 上使用,除非绝对需要,否则其他设备不应具有此访问权限 我不同意Wil,任何配置良好的防火墙都应该考虑双向流量。如果不是这样,防火墙的价值就会有所损失,因为流量确实流入和流出 我建议您检查您的基础架构,并找出需要在哪个方向访问的内容。并且,经常检查您的日志是否有任何被拒绝的流量,并在需要时对其采取行动 KPWINC 2009-07-29T11:18:28+08:002009-07-29T11:18:28+08:00 您可能想看看我不久前问的一个类似问题: 对抗 Bittorrent 希望这可以帮助。 Joshua Nurczyk 2009-07-29T08:52:38+08:002009-07-29T08:52:38+08:00 阻止到端口 6800-7000 的所有传入和传出流量,以阻止 bittorrent 客户端的大多数默认设置。 这样做的问题是用户可以调整客户端上的端口以使用其他端口。 正如另一位所说,仅在端口 80 上有入站流量就足以让许多 bittorrent 客户端工作,只是非常缓慢。 阻止它的唯一真正方法是,如果来自/发送到 bittorrent 客户端的数据包中有一些标记,智能路由器/防火墙可以读取然后阻止它。不过,我不知道有任何这样的标记。而且大多数路由器/防火墙只会读取标头的某些部分,而不是需要的整个数据包。它可能会显着延迟大型站点的所有网络流量。 skamradt 2009-07-29T08:54:07+08:002009-07-29T08:54:07+08:00 您还可以使用诸如OpenDns 之类的 DNS 系统并设置安全性,以便阻止已知的 torrent 跟踪域。我相信已经有一个非常大的数据库。您还可以将此系统设置为不允许访问游戏网站、社交网站等。这完全取决于您的业务,以及是否应允许您的网络用户访问 Facebook。 将其作为不被容忍的已知政策,并将采取适当的行动。 对桌面执行随机安全审计,以确保实施的安全设置仍然有效。 TrevJen 2009-07-29T08:54:40+08:002009-07-29T08:54:40+08:00 入侵防御系统可以无缝地处理这个问题。我们使用引爆点。 kolypto 2009-07-29T13:16:35+08:002009-07-29T13:16:35+08:00 您可以列出流行的 torrent 站点并阻止对它们的 HTTP 请求。这将禁止用户加载“.torrent”文件,因此他们将无法使用 torrent 客户端。主要是:)
大多数商业防火墙只阻止传入,它们允许所有传出,有时这足以让种子以最低速度运行。
如果您需要阻止它,您可以做的最好的事情是阻止路由器上的所有传出,不包括需要的项目,例如 smtp、pop3、http、https。
此外,阻止 UPnP,因为这动态地允许客户端分配/制定传出/传入连接规则。
深度数据包检查是要走的路。必须检查流量才能有效地阻止它。但是,如果使用加密,则所有赌注都将失败。
您可以尝试查看Untangle。听起来它可以做你想做的事。
您可以使用 Squid 代理服务器或 Smoothwall 防火墙设备。这些会起作用,因为流量整形需要使用“深度数据包检测”来检测协议类型。
如果您不知道如何阻止流量,那么您还有 2 个选择:
您的默认防火墙规则应该是拒绝任何方向的所有流量
其他规则应在预先要求的基础上添加。例如,应允许您的 DNS 服务器从专用网络在 Internet 上执行 DNS 查找,但可能不允许其他计算机。应该允许您的 HTTP 代理服务器在端口 80 和 443 上使用,除非绝对需要,否则其他设备不应具有此访问权限
我不同意Wil,任何配置良好的防火墙都应该考虑双向流量。如果不是这样,防火墙的价值就会有所损失,因为流量确实流入和流出
我建议您检查您的基础架构,并找出需要在哪个方向访问的内容。并且,经常检查您的日志是否有任何被拒绝的流量,并在需要时对其采取行动
您可能想看看我不久前问的一个类似问题:
对抗 Bittorrent
希望这可以帮助。
阻止到端口 6800-7000 的所有传入和传出流量,以阻止 bittorrent 客户端的大多数默认设置。
这样做的问题是用户可以调整客户端上的端口以使用其他端口。
正如另一位所说,仅在端口 80 上有入站流量就足以让许多 bittorrent 客户端工作,只是非常缓慢。
阻止它的唯一真正方法是,如果来自/发送到 bittorrent 客户端的数据包中有一些标记,智能路由器/防火墙可以读取然后阻止它。不过,我不知道有任何这样的标记。而且大多数路由器/防火墙只会读取标头的某些部分,而不是需要的整个数据包。它可能会显着延迟大型站点的所有网络流量。
您还可以使用诸如OpenDns 之类的 DNS 系统并设置安全性,以便阻止已知的 torrent 跟踪域。我相信已经有一个非常大的数据库。您还可以将此系统设置为不允许访问游戏网站、社交网站等。这完全取决于您的业务,以及是否应允许您的网络用户访问 Facebook。
将其作为不被容忍的已知政策,并将采取适当的行动。
对桌面执行随机安全审计,以确保实施的安全设置仍然有效。
入侵防御系统可以无缝地处理这个问题。我们使用引爆点。
您可以列出流行的 torrent 站点并阻止对它们的 HTTP 请求。这将禁止用户加载“.torrent”文件,因此他们将无法使用 torrent 客户端。主要是:)