Как блокировать torrent

[YellowRaccoon]

Аллоха! В общем возникла необходимость убивать на корню все попытки забивания канала торрентами из локалки. Каккими средствами это можно осуществить?
Как сделать обратное я, в принципе, нашел. Если я в торренте выставлю порт, скажем 49494, то с помощью

Код: [Выделить]

-t nat -A PREROUTING -p tcp (/udp) --dport 49494 -i eth0 -j DNAT --to $IP_localmachine
-t filter -A INPUT -i eth0 -p tcp (/udp) --dport 49494 -j ACCEPTмогу позволить нужным машинам качать торрент. Но проверить правильность я не могу, ибо для начала надо закрыть оный торрент для всех, чтобы открыть апосля для некоторых.

[ArcFi]

для начала надо закрыть оный торрент для всех, чтобы открыть апосля для некоторых.

Очевидно, прибить filter/FORWARD.

[YellowRaccoon]

ArcFi,
простите? пока не понимаю(

[ArcFi]

На FORWARD установить политику DROP, либо аналогичное терминирующее правило.

[gva230]

Будет проще ограничить доступ к торрент-сайтам. Потому что торренты можно гонять через любой порт.

Ну, а раз вы нашли способ пробросить нужный порт через NAT, то и привяжите это правило к конкретным машинам, а остальных - в сад.

[YellowRaccoon]

ArcFi,
Все равно туго, видимо понедельник, простите... Вы предлагаете -P FORWARD сбрасывать? Хотя судя по "прибить filter/FORWARD" нет. Объясните, пжалста

gva230,
Да, в том и проблема, что торренты не привязаны к одному порту. а доступ к торрент-саитам тоже не вариант:
1- придется подымать squid+ dansguardian, например. в чем не вижу смысла, ибо блокировать придется только торрент-саиты.
2- Что мешает человеку на ноутбуке дома поставить на скачку 200 Гб сериала, к примеру, и придя к Нам забивать канал, просто открыв торрент?

[AnrDaemon]

Всё равно придётся ставить сквид. Дропаете FORWARD, HTTP перенаправляете на кальмара, в кальмаре запрещаете CONNECT.

[gva230]

ArcFi,
Все равно туго, видимо понедельник, простите... Вы предлагаете -P FORWARD сбрасывать? Хотя судя по "прибить filter/FORWARD" нет. Объясните, пжалста

Он предлагает отказаться от форвардинга вообще, использовать только НАТ и пропускать входящий трафик только на допустимые порты.

[AnrDaemon]

gva230, Вы же чистый бред пишете, даже не задумываясь о смысле написанного.

[gva230]

gva230, Вы же чистый бред пишете, даже не задумываясь о смысле написанного.

У меня этот чистый бред на серваке работает...

[ArcFi]

Ещё вариант:
https://forum.ubuntu.ru/index.php?topic=217285.msg1673907#msg1673907

[AnrDaemon]

gva230, Вы же чистый бред пишете, даже не задумываясь о смысле написанного.

У меня этот чистый бред на серваке работает...

Что бы у вас там ни работало, его описание, изложенное тут вами, ничего общего с реальностью не имеет.

[YellowRaccoon]

ArcFi,
Прекрасно. В той теме есть нужный набор правил через algo bm. Работает. Осталось разобраться, как именно. Вопрос решен, благодарю!

[Unreg]

для блокирования транзитного torrent трафика нужен DPI
посмотрите в сторону хотя бы l7-filter-userspace