» NAT. Как заблокировать P2P-системы (Torrent, Emule) в сети?

Собственно сабж. Офисная сеть.
Часть народа лезет в нет через NAT (есть кто через прокси, с ними все просто)
Пустить их через проксю - не выйдет.

К инету подключены через Cisco 2811
в трансляциях NAT видно кто качает мулом и торрентом...но они же вроде юзают разные порты (динамические). Какие порты нужно позакрывать, чтобы торрент и ишак сдохли а все остальное работало (Skype, VPN, RDP, Citrix и стандартные сервисы - Imap, POP, WWW, FTP итд?)

Вроде у осла/мула исходящий порт TCP 4661.

слабо в гугле поискать порты emule , порты bittorrent ?
Порты EMULE
4661    TCP outgoing
4662    TCP incoming
4662    TCP outgoing
4672 UDP incoming
4672 UDP outgoing
4665 UDP outgoing
4711 TCP ncoming
Порты Торрент 6881-6889. 6881-6999

Если дело дошло до циски то помоему луче применить прицып ЗАПРЕЩЕНО ВСЕ, КРОМЕ и тогда проблем меньше.

Цитата:

Если дело дошло до циски то помоему луче применить прицып ЗАПРЕЩЕНО ВСЕ, КРОМЕ и тогда проблем меньше.

Самое правильное. Касается не только циски, но любого другого фаера. Т.к. и у торрента, и у осла полно серверов с нестандартными портами.

Спасибо за совет!

Вариант "закрыть все ненужное" отпадает....есть кое-какие организационные моменты...корпорейт полиси типа. А вот порты я закрою!

Сенькс!

Добавлено:
И еще - а что за incoming порт 43246 UDP?
На него полно трансляций, уж не пир-клиент какой?

stanru1

Цитата:

Т.к. и у торрента, и у осла полно серверов с нестандартными портами.

я тож так думал, только суть в том, что на сервак то ты сможешь подключиться, но тебе не будет у кого качать - порты то юзера в основном не меняют. Забиваешь гвоздями любой траф на 4662 и 4672 - и можешь спать спокойно. Тоесть выйти то можно будет , и к севреру подцепишься, только качаться все будет ну очень долго. При том, что мул и так не страдает огромной скоростью. А если учесть LowID который получаю юзера - то скачивание чего-либо превратиться в нескончаемо длинную песню.

Вобще 4662 и 4672 руби и сам потом посмотришь.


З.Ы. еще из пакостей - заруби пару десятков основных серверов.

Ооо спасибо! ценный совет! Так и сделаю....

Цитата:

Ооо спасибо! ценный совет! Так и сделаю....

ну ты понял что надо зарубить с 4662 и на 4662


http://athena.vvsu.ru/net/labs/lab02_cisco_2.html

2.10.2 Расширенные списки доступа

Ок! я все понял...завтра начну зверствовать...пущай пока качают я сегодня добрый

Значить ТАК ОФИСНАЯ СЕТЬ..................
идёш к каждому лично и сообщаеш о том что они нарушают авторские права произволителей фильмов и песен и тд и тп и все эти программы запрещены
не ровён час нагрянут менты с автоматами и припаяют штраф за каждый фильм или песню в размере 3 тоны уе.
разговор окончен програмамы не законые на офисном оборудование тоесть на компах такого быть не должно а то вообще поставить всем права пользователя на компах и пусть пасьянсы складывают .... иш распустились
это ещё добрый и милый вариант последний сходить к шефу и предупредить о том что все страна бореться с инет пиратами а он их покрывает и даже поощряет(вариант не приятный но действенный всем мало не покажется)

В нашей баклажановой республике менты с автоматами заняты другими делами а диски с фильмами и прочим добром в свободной продаже...пираты в почете....копирайтов нету, "who is mister Putin?" итд...Так что остаются административные методы борьбы (не катят против всех) и тот, что описан выше (а этот сработает на все 100%) Так что спасибо всем!

У меня противоположный вопрос, как сделать так чтобы при получении запросов по РАЗРЕШЕННЫМ портам для торента пробрасывалось все на мою машину....?
так сказать чтоб повысить мне коэффициент отдач от меня, а то он обычно < 0,1!!!!
????

Да, Можно ли как нибудь сделать так чтобы когда я цепляюсь по VPN качал я адресом который мне выдаётся при VPN подключении (PPPTP), а отдавал адресом которы выдаётся при PPPoE подключении?
Очень интересует.

А то у меня порты все закрыты в офисе:

"Welcome to the µTorrent Port Checker.
A test will be performed on your computer to check if the specified port is opened.

Checking port 37921 on xxx.xxx.xxx.xxx...

Error! Port 37921 does not appear to be open.

Please see www.portforward.com for more information about how to map a port.

Please make absolutely sure that PeerGuardian2 or Protowall is allowing utorrent.com (72.20.34.145) in either of those programs. Those of you using ipfilter.dat should make sure the list does not include the website's IP. After making sure of this, re-run this test by refreshing the page (F5)."


И так с любым! Не только с 37921.

Странно.

Цитата:

Забиваешь гвоздями любой траф на 4662 и 4672 - и можешь спать спокойно

А зачем тогда серверы нужны? Соединение, как я понимаю идет в виде IP:port=IP:port и смысла в смене номера порта мало. Когда у меня были проблемы с портами (мой пров-р блокировал все кроме 20 21 25 80 110) то я вообще через 80 выходил, и ничего. Правда, то был торрент клиент, но я думаю, что с ослом похожая картина.


Цитата:

Можно ли как нибудь сделать так чтобы когда я цепляюсь по VPN качал я адресом который мне выдаётся при VPN подключении (PPPTP), а отдавал адресом которы выдаётся при PPPoE подключении?

Можно конечно. Только надо покапаться в таблицах маршритизации. Или тупо заблокировать в фаере на одном вход, на другом выход.
PS. Для всяких ослов-торентов надо белый ip или переадресацию порта лично вам на постоянный серый ip.

Цитата:

Забиваешь гвоздями любой траф на 4662 и 4672 - и можешь спать спокойно

самое смешное что можно услышать. Узер это обходит в два клика- настройки- соединения- порт клиента.

на линукс роутере решается просто: собираете ipp2p модуль для iptables и или запрещаете весь p2p траф или (как я делаю) делаете ему самый низкий qos приориетет. определяет p2p траф железобетонно. хоть на 80й порт его завернет юзер - без разницы.
http://www.ipp2p.org/

ipfw add deny all from any to any
и все потом открываем что нужно

А можно порубать URL-ы трекеров? ну типа чтоб неоткуда было брать ссылки.
Вопросом также интересуюсь.

Цитата:

У меня противоположный вопрос, как сделать так чтобы при получении запросов по РАЗРЕШЕННЫМ портам для торента пробрасывалось все на мою машину....?

У себя решил вопрос так
На торент клиенте запретил автоматическую смену порта при старте, а в настройках шлюза прописал правило
все что пришло на порт переслать на машину на тот же порт раздачи идут как с белых IP тест порта проходит нормально рейтинг растет. Правило нужно добовлять практически в самый верх.

Соотвецтвенно для запрета торента есть только несколько способов тут уже описанных
1. блокировать все кроме того что рахрешено и это помоему самое правильное.
2. запрет на соединения типа connect по TCP и UDP (перестают работать передача файлов или вообще работать ася на некорых клиентах, иногда отваливается скайп клиент банк и прочее что юзает такой тип коннекта).
3. Юзать шлюзы которые умеют определять тип трафика или тип приложения с которого идет запрос и блокировать по трафику или приложению, а лучше "и".


Цитата:

А можно порубать URL-ы трекеров? ну типа чтоб неоткуда было брать ссылки.
Вопросом также интересуюсь.

Можно но юзер может попросить когото выслать ему торрент файл или принести его из дому. Другой вариант заблокировать сервер который собственно и отвечает за передачу клиенту списка сидеров и личеров и за из координацию как такое работает к осле не наю ибо не пользовался, а в торренте практически всегда есть несколько серверов один держит сайт с форумомо или чем то подобным, а второй координирует рабоут юзеров.

Цитата:

а в торренте практически всегда есть несколько серверов один держит сайт с форумомо или чем то подобным, а второй координирует рабоут юзеров.

А как узнать их адреса, сам же юзер мне их не скажет

yakostik

Цитата:

Другой вариант заблокировать сервер который собственно и отвечает за передачу клиенту списка сидеров и личеров и за из координацию

А как насчет DHT? IMHO, такой вариант не пройдет, ибо пиры при включенном DHT узнают друг о друге без участия трекера, AFAIK.

Это довольно сложная задача без применения алгоритмов анализации торрент - трафика. Проще всего использовать готовое решение, например http://www.fixit.com.ua/ru/howto_block_torrent

стандарт - 411-413,1214,3531,4661-4665,6345-6348,6881-6889

А если Торрент прётся по http на 80й порт?

Самый простой и красивый вариант. Повесить полиси-мап на внутренние интерфейсы, блочащий (вариант - полисящий) пакеты по протоколам битторрент и т.д. Определяются они средствами NBAR (match protocol bittorrent к примеру в класс-мапе). Минус один - дает высокую нагрузку на ЦП. Но попробовать стоит.

А если от 1-65535 ?

Fopokilio
уже выше писали - делать белый список, остальное запретить.
только вот бесплатными прогами п2п трафик не победить на 100%, но можно снизить его количество.

Можно поставить маршрутизатор микротик (например на отдельно стоящий ПК, за подробностями в варезник), там настроить фильтрацию по 7-му уровню и сигнатурам и дропать всё, что кажется лишним.

Более детально о Mikrotik в ветке рядом =)

Цитата:

порты emule , порты bittorrent ?
Порты EMULE
4661 TCP outgoing
4662 TCP incoming
4662 TCP outgoing
4672 UDP incoming
4672 UDP outgoing
4665 UDP outgoing
4711 TCP ncoming
Порты Торрент 6881-6889. 6881-6999

А вот если ОЧЕНЬ хочется данное ограничение обойти. Есть ли способ?