GNU/Linux >> Tutoriels Linux >  >> Linux

En utilisant Linux IPTables, comment bloquer les torrents ou tout protocole P2P ?

Solution 1 :

Le blocage P2P basé sur les ports n'est pas une solution à 100 %. Ce que vous voudrez peut-être envisager s'appelle le filtrage L7 (filtrage de couche 7). Fondamentalement, Linux a une implémentation qui fait une correspondance basée sur les regex sur tous les paquets pour décider ce qui est bon et ce qui est mauvais.

http://l7-filter.sourceforge.net/

Cela peut vous aider à bloquer toutes sortes de choses, y compris Skype.

http://l7-filter.sourceforge.net/protocols

Veuillez noter :la correspondance Regex pour inspecter et filtrer les paquets nécessite beaucoup de ressources, ce qui rend tout système beaucoup plus vulnérable aux attaques DDOS, la méthode préférée serait de cibler le protocole dans iptables.

Solution 2 :

La seule solution technique appropriée consiste à faire passer tout le trafic par un proxy qui déchiffrera le trafic SSL à la volée, puis appliquera le filtrage de couche 7 sur le trafic de passage.

De tels produits sont assez chers car il y a généralement une grande équipe d'ingénieurs derrière eux qui met à jour les règles nécessaires pour classer les paquets.

Vous pouvez vous aider un peu avec iptables modules sush comme mentionné précédemment ipp2p ou l7-filter , mais ils n'intercepteront pas le trafic chiffré.

Dans tous les cas, la technologie est très rarement la solution aux problèmes sociaux, et l'utilisation abusive des réseaux d'entreprise / publics / autres pour le p2p est un problème social. Essayez de parler à vos utilisateurs, demandez à votre organisation de créer des politiques appropriées et de les appliquer avec des sanctions. D'après mon expérience, cela fonctionne bien mieux qu'une course aux armements technologiques constante avec vos utilisateurs.

Solution 3 :

Il est recommandé de bloquer les ports de suivi courants tels que :6881-688927106969

mais cela n'aidera pas contre les trackers liés au port 80 (c'est-à-dire tpb.tracker.thepiratebay.org). Donc tout bloquer, mais 80,443,22 n'aiderait pas.

ipp2p est la meilleure solution que je connaisse. Voir rubrique Documentation/Utilisation

À propos du filtre l7. Dans bittorrent.pat, le commentaire dit :

Ce modèle a été testé et on pense qu'il fonctionne bien. Cependant, cela ne fonctionnera pas sur les flux bittorrent cryptés, car il est impossible de faire correspondre (bien) les données cryptées.

Dans les systèmes BSD, pf peut appliquer des actions en fonction du nombre d'états ou de connexions par seconde, de sorte que vous pouvez baliser le trafic de type bittotent, car il génère rapidement des connexions. Lisez le manuel d'iptables, peut-être qu'il peut le faire aussi.


Linux

  1. Comment bloquer les adresses usurpées locales à l'aide du pare-feu Linux

  2. Comment bloquer l'adresse IP sur le serveur Linux

  3. Comment surveiller et enregistrer le trafic réseau sous Linux à l'aide de vnStat

  4. Comment déterminer la taille de bloc d'une partition ext3 sous Linux ?

  5. Comment programmer un redémarrage sous Linux ?

Comment renommer des fichiers en utilisant la ligne de commande sous Linux

Comment configurer le pare-feu iptables sous Linux

Comment lister les systèmes de fichiers sous Linux à l'aide de Lfs

Comment bloquer/autoriser le ping en utilisant iptables dans Ubuntu

Comment bloquer un port à l'aide d'un pare-feu sous Linux

Comment chiffrer les périphériques de bloc à l'aide de LUKS sous Linux