Настройка файрвола на шлюзе

maxys146	# 10 лет, 6 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Итак, есть шлюз, на фряхе, хотя это неважно. Вопрос на засыпку: Как закрыть торренты и разрешить при этом использование SIP? Я понимаю что deny all from any to any, а перед этим только нужное открывать, но сип-то тоже использует случайные порты из определенного диапазона, а торрент тоже по ним стучится…

# 10 лет, 6 месяцев назад

Сообщения: 754

Участник с: 08 апреля 2011

Итак, есть шлюз, на фряхе, хотя это неважно.
Вопрос на засыпку: Как закрыть торренты и разрешить при этом использование SIP?
Я понимаю что deny all from any to any, а перед этим только нужное открывать, но сип-то тоже использует случайные порты из определенного диапазона, а торрент тоже по ним стучится…

Natrio	# 10 лет, 6 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Я не понял – шлюз с NAT или как? Если с NAT, то любые входящие соединения не то, что запрещать, их специально перенаправлять с определённых портов на нужную машину надо, чтобы вообще работали.

maxys146	# 10 лет, 6 месяцев назад
Темы: 43 Сообщения: 754 Участник с: 08 апреля 2011	Нат есть, все соединения нормально перенаправляются, так-же стоит squid прозрачный. Правила пока открывают определенные порты и ip, натятся, и потом уже deny для прочего Вопрос не в этом… Как вообще можно прибить торренты?

shaman	# 10 лет, 6 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	некоторое время назад я решал эту проблему. на nag.ru народ придумал фильтры, которые отсекали торренты, но протокол изменился и сейчас, на сколько я знаю, возможности срезать только торрент нету. если не ошибаюсь на том же форуме товарищ писал какую-то софтину, которая ловила торренты и отправляла некорректные ответы, но вроде она не бесплатная

shaman

# 10 лет, 6 месяцев назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

некоторое время назад я решал эту проблему. на nag.ru народ придумал фильтры, которые отсекали торренты, но протокол изменился и сейчас, на сколько я знаю, возможности срезать только торрент нету. если не ошибаюсь на том же форуме товарищ писал какую-то софтину, которая ловила торренты и отправляла некорректные ответы, но вроде она не бесплатная

sleepycat	# 10 лет, 6 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	могу предложить только локальную настройку торрентов на определенные порты или наоборот выедлить ip нужные SIP. Остальное резать. Пока тоже лучшего решения не нашел. Политики пока “запрет на торрент”, да и честно говоря начальники не жибко их жалуют, поэтому я забил. Но пока нигде толкового примера срезания (прозрачного) торрентов не видел. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 6 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

могу предложить только локальную настройку торрентов на определенные порты или наоборот выедлить ip нужные SIP. Остальное резать. Пока тоже лучшего решения не нашел. Политики пока “запрет на торрент”, да и честно говоря начальники не жибко их жалуют, поэтому я забил. Но пока нигде толкового примера срезания (прозрачного) торрентов не видел.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

shaman	# 10 лет, 6 месяцев назад
Темы: 26 Сообщения: 379 Участник с: 13 декабря 2009	http://forum.nag.ru/forum/index.php?sho … 25&st=1040 DROP udp -- anywhere anywhere udp STRING match "\|7fffffffab\|" ALGO name kmp FROM 40 TO 44 statistic mode random probability 0.900000 DROP udp -- anywhere anywhere udp STRING match "\|7fffffff00032000\|" ALGO name kmp FROM 36 TO 41 statistic mode random probability 0.900000 DROP udp -- anywhere anywhere udp STRING match "\|0038000000010000\|" ALGO name kmp FROM 36 TO 41 statistic mode random probability 0.900000 http://forum.nag.ru/forum/index.php?sho … 71513&st=0

shaman

# 10 лет, 6 месяцев назад

Темы: 26

Сообщения: 379

Участник с: 13 декабря 2009

http://forum.nag.ru/forum/index.php?sho … 25&st=1040

DROP udp -- anywhere anywhere udp STRING match "|7fffffffab|" ALGO name kmp FROM 40 TO 44 statistic mode random probability 0.900000
DROP udp -- anywhere anywhere udp STRING match "|7fffffff00032000|" ALGO name kmp FROM 36 TO 41 statistic mode random probability 0.900000
DROP udp -- anywhere anywhere udp STRING match "|0038000000010000|" ALGO name kmp FROM 36 TO 41 statistic mode random probability 0.900000

http://forum.nag.ru/forum/index.php?sho … 71513&st=0