Zablokować pobieranie p2p w moim biurze?

8

Pracuję w biurze edukacyjnym w kraju trzeciego świata. Płacimy za internet megabajt (nie ma innego wyboru), a ostatnio korzystaliśmy z niewiarygodnej przepustowości. Wynika to z faktu, że pracownicy biura dowiedzieli się o udostępnianiu p2p. O ile wiem, Limewire jest jedynym programem, z którego korzystają, ale jestem pewien, że to kwestia czasu, zanim odkryją bardziej ogólny świat bittorrent.

Używając tylko routera Linksys (który mógłbym sflashować), jest jakiś sposób dla mnie, aby zapobiec zniszczeniu przez nasz limit przepustowości przez biuro pobierając rzeczy osobiste (wbrew zasadom).

Nawet pół-poprawki byłyby lepsze niż nic.

Andrzej
źródło
1
solidna zapora może go zablokować ..
ukanth
3
To pytanie może również zawierać kilka dobrych odpowiedzi na serverfault.com, ponieważ brzmi to jak typowe zadanie sysadmin (na wypadek, gdybyś nie znalazł tutaj wygodnego zadania).
Gnoupi,
(Third World - jesteś pewien? En.wikipedia.org/wiki/Third_World )
Arjan
1
Limewire? Poinformuj ich o prawidłowym użyciu p2p, a następnie powiedz im, aby tego nie robili.
Phoshi,
2
Chodzi mi o to, że uważam, że nikt nie powinien już używać tego terminu w odniesieniu do krajów rozwijających się. Ale jeśli nawet ktoś, kto tam pracuje, używa go i może się z tego uśmiechnąć, to najwyraźniej się mylę. :-(
Arjan

Odpowiedzi:

6

Obie dobre odpowiedzi od satanicpuppy i cschreiner. Dodam moje 0,02 $. Jeśli router Linksys zaakceptuje oprogramowanie układowe Tomato ( http://www.polarcloud.com/tomato ), możesz użyć opcji Traffic Shaping / QoS, aby oddzielić priorytety od wszystkiego, co chcesz. Uważam, że Tomato QoS / Shaper działa lepiej niż cokolwiek innego, co próbowałem (DDWrt i pfSense)

Obecnie używam oprogramowania Tomato w nieco podobnej sytuacji, w której wiele osób korzysta z jednego połączenia i płacę za MB użycia.

Mój Linksys WRT54GL zwykle ma czas pracy około 60-120 dni i działa bardzo dobrze.

Scuzzy-Delta
źródło
+1, to też dobra ścieżka. Jeśli nie możesz zablokować, spróbuj zmienić priorytet.
nik
1
Zalogowałbym się więc na routerze, sprawdziłem, czy są pobierane pliki, a potem zmieniłem ich priorytet? Czy to oznacza, że ​​muszę ciągle sprawdzać, czy też mogę sprawić, by automatycznie zmienił priorytet? Nie jestem niechętny do pracy, chcę tylko wiedzieć, czy to rozwiązanie będzie skuteczne pod moją nieobecność.
Andrew
Nie, wręcz przeciwnie. Aby rozpocząć, należy określić, który ruch ma priorytet, i zapisać ustawienia. Od tego momentu router automatycznie to zrobi. Od prawie roku nie musiałem opiekować się moją obecną instalacją. Po prostu siedzi cicho i wykonuje QoS. Naprawdę fantastyczny program.
scuzzy-delta
1
Pozwoli to jednak innym programom na lepsze połączenie internetowe w razie potrzeby, ale nie zapobiegnie płaceniu dodatkowym megabajtom.
Gnoupi,
2
Zastosowałbym tę taktykę, jeśli twój Linksys ją popiera, ale ogólnie rzecz biorąc, jest to działanie POLITYCZNE, które musisz wprowadzić w miejscu pracy.
Jakub
6

Sugerowałbym dwutorową taktykę:

  1. Skonfiguruj reguły, aby zezwalać na ruch tylko wybranym usługom, takim jak DNS, internet, https, ftp, poczta itp. Próba zablokowania portów używanych przez aplikacje P2P to przegrana bitwa, ponieważ w wielu przypadkach możesz zmienić port używany w preferencjach aplikacji lub przełącz się na inną aplikację.

  2. Inną rzeczą do zrobienia jest rozmowa z szefem lub osobą, która podejmuje decyzje finansowe (jeśli to nie ty) i ustalenie zasady, że jest to niedozwolone, i poinformowanie pracowników, że rejestrujesz, co się dzieje, i każdemu przy użyciu P2P zostanie zwolniony. Nie warto poświęcać czasu na nieustannie eskalującą wojnę, aby znaleźć niezawodny sposób na powstrzymanie ludzi przed użyciem P2P.

Sugeruję zapory ogniowe SonicWall, które mogą działać zarówno wewnętrznie według dowolnych reguł, jak i mają opcje rejestrowania i raportowania. Wspomniane wcześniej oprogramowanie do pomidorów może mieć również te możliwości - nie znam się na tym.

ridogi
źródło
1

Spróbuj opendns.com, zarejestruj się, dodaj zidentyfikowany adres IP, zaznacz to, co chcesz zablokować, i pamiętaj, aby dodać adresy dns OpenDNS do routera Linksys ... zwykle na pierwszej stronie routera. Upewnij się, że masz bezpieczny login / pw przypisany do swojego linksys i oczywiście dobre pw dla opendns.

Przejdź tutaj, aby uzyskać instrukcje dotyczące routera: https://store.opendns.com/setup/router/

Również ... jeśli twój dostawca daje ci dynamiczny adres IP, będziesz musiał sprawdzić częstotliwość zmiany adresu IP i od czasu do czasu zmieniać ustawienia, w przeciwnym razie nic nie blokujesz, gdy się zmieni.

użytkownik16825
źródło
Nie sądzę, żeby OpenDNS działał. Wydaje się, że najlepiej jest zablokować strony internetowe, na których można znaleźć pliki torrent (np. Piratebay) ... ale to nie powstrzyma limewire, prawda?
Andrew,
Ani też nie powstrzyma kogoś przed wysłaniem mi pliku torrenta, który mógłbym dwukrotnie kliknąć.
Martin Marconcini,
może zablokować klientowi torrentowi znalezienie niektórych modułów śledzących, ale nie uniemożliwiłoby zastąpienia ich bezpośrednimi adresami IP.
quack quixote
1

Jeśli blokowanie ruchu p2p jest prawdziwym problemem, możesz chcieć uzyskać prawdziwą zaporę ogniową (Linux, OpenBSD itp.). Przy odpowiedniej konfiguracji (niezbyt trudne, ale będziesz musiał dużo czytać i grać w serverfault.com), możesz zablokować cały ruch wychodzący, którego nie chcesz, a także ograniczać pozostały ruch wychodzący (który niezależnie P2P jest zawsze dobrym pomysłem). Wymaga to czasu i testów, ale gdy rozwiązanie już działa, nigdy więcej nie musisz się martwić. Miałem OpenBSD działający nieprzerwanie od ponad dwóch lat.

Jak stwierdzono tutaj, użytkownicy zawsze znajdą nowe sposoby na ominięcie ruchu, ale jeśli utrzymasz blokowanie mocno, nawet jeśli p2p, prędkość będzie nędzna i mogą po prostu porzucić pomysł.

INŻYNIERIA SPOŁECZNA

Pamiętam, że miałem użytkownika pobierającego rzeczy przez jakiś dziwny port, jak szaleniec. Dlatego nadałem priorytet ftp przez port 22 i rozpocząłem pobieranie 2 GB z pełną prędkością z tej lokalizacji (która była naprawdę bliska, więc w tej chwili prędkość wynosiła „pełna prędkość” 200 k / s). To „zabiło” resztę sieci. Rezultat końcowy: nie tylko inni użytkownicy sieci byli źli na tę osobę za „zabicie” ich Internetu, ale użytkownik również musiał przerwać, ponieważ prędkość pobierania była nędzna. „Powodem” powolności sieci, który mu podałem, było to, że jego połączenie P2p zabijało stary router. (kłamstwo).

Przestał działać.

;)

Martin Marconcini
źródło
0

Jeśli reguły wychodzącej zapory ogniowej nie pomogą (jak zauważyłem w komentarzu do innej odpowiedzi tutaj),
następnym krokiem byłoby rozważenie filtra opartego na Snort .

Byłoby to trochę bardziej skomplikowane i wymagałoby dodatkowych zasobów i wysiłku.
Spójrz więc na to jako sugestię teoretyczną; jeśli nic innego nie działa ...

  • Możesz użyć instalacji opartej na systemie Windows lub wybrać Linux
  • Będziesz musiał skonfigurować określone reguły, takie jak ta, która zatrzymuje Bittorrent
    • pojawiłaby się „krzywa uczenia się” podczas lokalizowania podpisów, które działają dla Ciebie
  • Można ograniczyć inne sygnatury związane z „włamaniami” w celu poprawy wydajności

To najlepsze, co mogę wymyślić w danych warunkach.
Dodam więcej notatek, jeśli dostanę lepsze pomysły - a może niektórzy zwiększą to dzięki lepszemu rozwiązaniu.

nik
źródło
0

Powinno być całkiem łatwe. W przypadku większości routerów Linksys będzie to wyglądać mniej więcej tak: Przejdź do interfejsu administratora routera (po prostu skieruj przeglądarkę internetową na router. Myślę, że domyślnie jest to 192.168.1.1, ale powinieneś być w stanie powiedzieć to z komputera za pomocą „tracert google.com”: router powinien być pierwszym wpisem) i kliknij kartę z napisem „Ograniczenia dostępu”, a pod nią zobaczysz kilka kart z napisem „Zablokowane usługi” z przyciskiem poniżej mówi „Dodaj / Edytuj usługę”

Kliknij przycisk Dodaj / Edytuj i ustaw zakres portów, które chcesz zablokować. Domyślnie Limewire to 6346.

Niestety gotowe wersje nie pozwalają na drobiazgową kontrolę. Jeśli opublikujesz model swojego routera, sprawdzę dostępność aktualizacji oprogramowania układowego. Jeśli znajdziesz coś, co oferuje pełną obsługę IPTables, możesz zrobić białą listę portów, co jest najlepszym sposobem ... Blokuj WSZYSTKO oprócz tego, co chcesz.

@Nik: Tak, masz rację. Ale to wszystko, co możesz zrobić z gotowymi linkys. Konfigurowanie ograniczania przepustowości i tym podobnych wymaga skonfigurowania rzeczywistego proxy, a to prawie wymaga serwera i całej wiedzy łodzi (lub garści gotówki).

Gdybym miał to zrobić, skonfigurowałbym proxy kałamarnicy, aby dławić zawartość , a jeśli to nie zadziałałoby, po prostu zdławiłem piekło moich problemowych użytkowników (lub ich zwolniłem).

Satanicpuppy
źródło
W rzeczywistości te rzeczy nie działają tak dobrze. Po chwili ludzie „odkrywają” narzędzia anonimowe / tunelujące, które kończą zajmowanie większej przepustowości dla tej samej ilości danych (szyfrowanie, przekierowanie P2P). Jedyną dobrą rzeczą w tym jest - miejmy nadzieję, że będą zniechęceni wysiłkiem i dyskomfortem na tej ścieżce. Ale to nie zawsze działa.
nik
0

Jeśli kontrolujesz maszyny w biurze, to zamiast blokować porty routera, możesz po prostu zablokować aplikację P2P w zaporze systemu Windows?

Ponieważ działa na poziomie aplikacji, a nie na poziomie portów / protokołów. Następnie aplikacja jest blokowana niezależnie od tego, jakiego portu próbuje użyć.

wizerunek

Uwaga: Jeśli aplikacji nie ma na liście, możesz dodać ją do listy za pomocą przycisku Dodaj program na dole tego okna.

harrymc
źródło
Powinienem o tym wspomnieć, ale nie mam dostępu do każdego komputera.
Andrew,