web-dev-qa-db-ja.com

Tomatoファームウェアを使用してLinksysルーターWRT54GでP2Pトラフィックをブロックする

Linksys WRT54Gで、Tomatoファームウェアがインターネット接続を共有している小さなワイヤレスネットワーク(6〜10ユーザー)を実行しています。 BitTorrent(主に使用されている)や他のP2Pアプリでファイルをダウンロードしてほしくない。

また、QoSを使用してP2Pトラフィックの優先度を下げる方法もいくつか見つかりました。私は本当にする必要があります禁止 P2Pトラフィック。

誰かがその種のトラフィックを拒否するためにいくつかのルールを設定する方法を知っていますか?

アクセス制限ルールを設定しようとしました:

Screenshot

しかし、それはまったく機能していません。

routerhome-networkingtomatop2ptraffic-filtering
6
Kami

間接的な方法でこれを行う1つの方法は、 OpenDNS を使用することです。

  1. ルーターの設定でDNSサーバーをOpenDNSサーバー(208.67.222.222および208.67.220.220)に設定します
  2. OpenDNS Webサイト(無料)でアカウントを作成し、Webサイトの指示に従って構成する
  3. 次に、アカウント設定でカスタムフィルタリングレベルを選択し、「P2P /ファイル共有」をブロックすることを選択します。他のカテゴリをブロックしたい場合は、「フィッシング」をブロックします。必要に応じて、特定のサイトを例外として追加するか、ブロックすることができます。

これは、目標を達成するための間接的な方法であり、おそらく最初に探していたものではありませんが、機能し、いくつかの追加の利点があります(たとえば、ブロックしたい他のWebサイトをブロックするなど)。

2
ssollinger

私が今までに思いつくことができる最良の方法は、物事の組み合わせです:

  1. OpenDNS DNSサーバーを使用し、それらのp2pカテゴリを使用してp2pサイトへのアクセスをブロックします。 Tomatoで、Advanced> DHCP/DNSの下の[Intercept DNS port(UDP 53)]チェックボックスをオンにして、ユーザーが自分のDNSサーバーを使用できないようにします。
  2. Tomatoで、アクセス制限ルールを作成し、ポート/アプリケーションを「TCP/UDP、IPP2P:すべてのIPP2Pフィルター」に設定します(これにより、暗号化されていないp2pトラフィックがブロックされます)
  3. HTTP Requestフィールドに、URLで使用されるいくつかの一般的なbittorrent/emuleキーワードを入力しました。これにより、ユーザーは.torrentファイルをダウンロードしたり、tracker.xxx.comやdomain.com/scrapeなどのアドレスを使用しているトラッカーに接続したりできなくなります。現時点でのマイリスト:
アナウンス
トレント
トラッカー
スクレイプ
ピアレート
ピアブーター
 gruk.org 
 emule-security.net 
 server.met
  1. Tomatoでは、Administration> Scripts> Firewallの下に、ユーザーがあまりにも多くの接続を開かないようにするためのiptablesルールをいくつか追加しました。一般的に使用されるいくつかのビットトレントポートもブロックしました。
iptables -I FORWARD -p tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 50 -j DROP 
 iptables -I FORWARD -p! tcp -s 192.168.1.0/24 -m connlimit --connlimit-above 25 -j DROP 
 
 iptables -I FORWARD -p tcp --dport 6881:6999 -j REJECT 
 iptables -I FORWARD -p udp --dport 6881:6999 -j REJECT
3
Fryderyk

通常、それは不可能です。任意のビットトレントクライアントは、任意のポートを使用するように設定できます。ほとんどすべてのビットトレントクライアントは、ビットトレントトラフィックを暗号化するように設定できます。このようにすると、それを検出するのが難しくなります。それでも、デフォルトのDENYポリシーで成功し、正当なトラフィック(HTTPおよびHTTPSなど-ポート80,443への接続)のみを許可する場合がありますが、それは別の話です。

3
geek

P2Pをブロックするには、Tomatoのアクセス制限を調べてください。ポートでアプリケーションをブロックするのに役立ち、HTTPリクエストに含まれるデータでフィルタリングすることもできます。 Active XやJavaアプレットなどをブロックすることもできます。

enter image description here

1
John T

専用ユーザーは制限をバイパスできますが、難しい場合もあります。まず、ポート転送のプラグアンドプレイを無効にして、必要なポートのみを転送できますが、それが私であり、私が通過することに専念している場合は、ファイル共有をポート80または443を使用するように設定します。ちょうど完全にあなたをF。これらのポートをブロックすることはできません。それはさらに悪いことです。

別の方法として、プラグアンドプレイを許可し、ログを調べて接続先のポートを確認し、それらのポートにqosを設定して帯域幅を許可しますが、他のトラフィックには最低の優先度と最高の優先度を設定します。インターネットが優先され、ファイル共有者はある程度のファイル共有を行いますが、帯域幅を占有することはありません。彼らはあなたの制限を回避する意欲が低下します。また、共有のためにipp2pとlayer7を有効にします。これはアプリケーションを共有するためのqos用です。一部の人々はこれを使用してp2pをブロックしますが、通常のトラフィックに影響を与えるいくつかの欠点があり、p2pにもこれを回避する方法があります。

アクセス禁止の問題は、共有を暗号化した場合、フィルタリングの効果がほとんどないことです。知識の少ないユーザーは暗号化されたVPNを設定でき、それをブロックしたり制限したりする方法はありません。これが発生すると、キーワードの禁止、フィルタリング、ポートブロックは機能せず、キーワード検索のブロックも行われません。トラフィックはすべて暗号化され、安全でプライベートです。これがいかに効果的であるかの例として、中国は政府が制定した世界で最も先進的かつ効果的なインターネット制限を設けており、人々はそれらを回避するためにVPNを使用しています。

もう1つの公正な方法は、バンド幅を分割し、各ユーザーに設定された量のみを許可することです。

これは、大手サービスプロバイダーにとっても大きな問題です。

完璧な解決策はありません。

ネットワークでの幸運

1
Rey

他の人が説明しているように、おそらくP2Pトラフィックを防ぐことはできません。しかし、それを禁止してユーザーに説明することもできます(1)P2Pを禁止する理由と(2)何が起こっているのかを監視でき、違反者をロックダウンできる(たとえば、各ユーザーが独自のIPを持っている場合)...

より一般的には、これはテクノロジーよりも教育で解決できる種類の問題のようです...

0
Xavier Nodet