ディープパケットインスペクション はここに行く方法です。トラフィックを効果的にブロックするには、トラフィックを調べる必要があります。ただし、暗号化が使用されている場合、すべての賭けは無効になります。
ntangle を見てみてください。それはあなたが望むことをすることができるように聞こえます。
ほとんどの商用ファイアウォールは着信のみをブロックし、すべての発信を許可します。これは、トレントを最小限の速度で動作させるのに十分な場合があります。
これをブロックする必要がある場合、smtp、pop3、http、httpsなどの必要なアイテムを除いて、ルーターでのすべての送信をブロックすることが最善の方法です。
また、UPnPをブロックすると、クライアントが動的に発信/着信接続ルールを割り当て/作成できるようになります。
SquidプロキシサーバーまたはSmoothwallファイアウォールアプライアンスを使用できます。トラフィックシェーピングは「ディープパケットインスペクション」を使用してプロトコルタイプを検出する必要があるため、これらは機能します。
トラフィックをブロックする方法がわからない場合は、さらに2つのオプションがあります。
- IPによる帯域幅の制限
- IPによるinbound接続の数を制限します(これにより、Torrentのクロールが遅くなります)。
デフォルトのファイアウォールルールは、あらゆる方向のすべてのトラフィックを拒否することです。
その他のルールは、事前要件ベースで追加する必要があります。たとえば、DNSサーバーはプライベートネットワークからインターネット上でDNSルックアップを実行できるようにする必要がありますが、他のマシンは許可しないようにする必要があります。 HTTPプロキシサーバーはポート80と443で許可されている必要があります。絶対に必要な場合を除いて、他のデバイスがこのアクセス権を持っていてはなりません。
Wil に同意する必要があります。適切に構成されたファイアウォールは、both方向のトラフィックを考慮する必要があります。そうでない場合、トラフィックが実際に流入および流出するため、ファイアウォールの価値がいくらか失われます。
インフラストラクチャを確認し、どの方向で何がアクセスを必要とするかを理解することをお勧めします。また、拒否されているトラフィックがないかログを頻繁にチェックし、必要に応じてそれに対処してください
ポート6800〜7000へのすべての着信および発信トラフィックをブロックして、ビットトレントクライアントのほとんどのデフォルト設定をブロックします。
この問題は、ユーザーがクライアントのポートを調整して他のポートを使用できることです。
別の言葉で述べたように、ポート80に着信トラフィックがあるだけで、多くのビットトレントクライアントは非常にゆっくりと動作します。
これをブロックする唯一の真の方法は、ビットトレントクライアントとの間のパケットに、インテリジェントルーター/ファイアウォールが読み取ってブロックできるマーカーがある場合です。でもこのようなマーカーは知りません。また、ほとんどのルーター/ファイアウォールは、必要なパケット全体ではなく、ヘッダーの特定の部分のみを読み取ります。大規模なサイトでは、すべてのネットワークトラフィックに大幅な遅延が生じる可能性があります。
OpenDns などのDNSシステムを使用して、既知の急流追跡ドメインがブロックされるようにセキュリティを設定することもできます。それらのデータベースはすでに非常に大きいと思います。ゲームシステム、ソーシャルネットワーキングサイトなどへのアクセスを許可しないようにこのシステムを設定することもできます。それはすべてあなたのビジネスとあなたのネットワークユーザーがFacebookへのアクセスを許可されるべきかどうかに依存します。
容認されないことを既知のポリシーにすると、適切なアクションが実行されます。
デスクトップのランダムなセキュリティ監査を実行して、導入されたセキュリティ設定がまだ導入されていることを確認します。