Какие есть модели управляемых 16 или 24 портовых коммутаторов (желательно не слишком дорогих), имеющих возможность блокировки P2P трафика по портам?

Question

[repiv]

Доброго времени суток.
Прошу подсказать модели управляемых 16 или 24 портовых коммутаторов (желательно не слишком дорогих), имеющих возможность блокировки P2P трафика по портам.
Данная возможность необходима для ограничения использования торрентов в сети.
Сопутствующий вопрос: На что еще может повлиять данный тип блокировки?

Comments

[repiv]

Не будет ли лучшим решением для блокировки торрентов вместо роутера/коммутатора использовать шлюз на linux с правилами Traffic Control и acl iptables?

Answer 1

[Денис]

Я очень сомневаюсь, что имеются коммутаторы, которые могут работать с трафиком выше, чем на Layer3. На Cisco роутерах данная возможность имеется. Делается примерно вот так:

class-map match-any CM_P2P
 match protocol edonkey
 match protocol fasttrack
 match protocol gnutella
 match protocol kazaa2
!
policy-map PM_P2P
 class CM_P2P
   drop
!
interface fastEthernet 0/1
 service-policy input PM_P2P
!

Повлиять это особо ни на что не может. Трафик инспектируется на уровне протоколов, и соответсвенно блокируются сами протоколы, а не отдельные порты.

Comments

[frees2]

про порты это конечно лажа, никто не мешает 80 порт использовать под торрент, ваши настройки уже не работают в современных торрентах.

[repiv]

под портами я подразумевал порты самого коммутатора, то есть осуществлять фильтрацию не для всех, а только для некоторых, хотя как альтернатива использовать vlan

[frees2]

www.cisco.com/en/US/docs/cable/serv_exch/serv_cont... не работает по торренту

[Денис]

@frees2 в том то все и дело, что классификация трафика делается не по портам, а по содержимому пакетов. Протокол торрента известен, поэтому определить его не составляет труда. У меня в настоящее время блокировка торрентов работает отлично. Единственный способ обойти ее, это использовать для получения пиров HTTPS прокси. Ну или получать их напрямую по HTTPS.

[frees2]

у торрент 3.3 работает, раньше не мог переслать файлы, по ранней версии, блокировали

[Денис]

@frees2 возможно работает. Выйду на работу, обязательно проверю. А в торрент 3.3 изменились сигнатуры?

[repiv]

@denis_vl какой вариант роутера тогда можете предложить для реализации Вашего варианта решения? Насколько я понял он не будет работать только для прокси через HTTPS, но для минимизации данного риска можно дополнительно заблочить стандартный порт 3128.

[frees2]

@repiv 8080 в торентах по дефолту для https

[Денис]

@repiv предложить ничего не могу, так как не знаю что и как у вас построено. Но могу сказать, что если вам нужно быстрое и недорогое решение, Вы можете попробовать блокировку на linux через iptables. Для этого есть l7-filter.sourceforge.net
блокировка делается примерно вот так:
iptables -I FORWARD -m layer7 --l7proto bittorrent -j DROP
В настоящее время я не знаю насколько качественно работает l7 filter, но раньше, когда небыло у меня цисок, я делал все на нем.

Answer 2

[Ilya Evseev]

Обычно такая фильтрация делается не на коммутаторах, а в ядре сети.
Чтобы весь межклиентский трафик ходил через ядро, есть несколько решений:
- vlan на клиента (vlan-per-customer)
- асимметричные vlan'ы (www.dlink.ru/up/uploads_media/asymmetric_vlan.pdf‎)
Резать в ядре можно Циской, Микротиком, Линуксом через l7filter, FreeBSD через netgraph.

Answer 3

[rdc]

Самое простое решение, доступное для реализации на коммутаторе - сделать белый список протоколов. Разрешается http(s), dns, dhcp/arp, прочее нужное для работы, остальное зарезается.