SOHO – traffico bittorrent a gas da utenti di problemi

Gestisco la networking in un piccolo ufficio (SW dev è il mio "vero lavoro") e ci sono un paio di utenti che battono l'inferno dalla nostra connessione internet facendo funzionare bittorrent. Tra l'effetto quasi paralizzante sul lato di caricamento (20Mbps) e la responsabilità potenziale, voglio chiudere questo il più ansible.

Alcuni dettagli rapidi in previsione di domande o suggerimenti:

  • abbiamo due router (1 Linksys, 1 Buffalo) che eseguono l'ultimo DD-WRT e uno D-Link DIR-655 in esecuzione qualunque sia il software di fabbrica più recente

  • Internet è FiOS 20/20 piano

  • gli utenti si connettono via WiFi e cablati, ognuno usa DHCP

  • l'acquisizione di nuovi hardware (ad esempio <$ 1000) che realmente fa il trucco in modo affidabile è un'opzione

  • abbiamo una politica di utilizzo di Internet, sì, ma voglio farlo quanto più ansible attraverso l'IT, perché tutti sappiamo che alcune persone non possono seguire le regole. Sì, so che fare con questo è un problema sociale, ma questa parte è fuori dalla mia autorità / controllo.

  • le strategie comuni (completamente bloccare l'accesso da MAC / IP, porte di block, ecc.) non functionranno. Alless 2 persone di recente programmano gli indirizzi MAC sulle loro interfacce Ethernet.

Capisco che i client BT possono essere configurati per utilizzare altre porte, quindi solo bloccando la gamma standard di port BT è debole.

Non posso credere che sono la prima persona a sfogliare questo gatto. O forse solo i reparti IT. con i budget di attrezzature grandi possono pelle questo gatto?

Grazie per l'aiuto!

  • Come faccio a percorrere tutto il traffico dai client connessi al DD-WRT al tunn0 di tunnel OpenVPN?
  • Come bloccare l'accesso esterno al servizio DNS in esecuzione su un router Cisco?
  • Come configurare una connessione Internet di backup da un secondo ISP?
  • Come viene assegnato un router all'indirizzo IP?
  • SSH tramite Home Router con inoltro della port
  • perché il nostro router è in crisi?
  • Router Juniper che ping ping all'interface esterna
  • Cosa posso fare se la mia organizzazione esegue gli indirizzi IP?
  • 11 Solutions collect form web for “SOHO – traffico bittorrent a gas da utenti di problemi”

    Hai ragione, è veramente un problema sociale che deve essere affrontato dalla direzione. Se determinate persone stanno impattando sulla networking al punto che sta causando problemi per gli altri, allora devono essere affrontati e spiegato quali saranno le conseguenze se lo mantengono. Riprogrammare gli indirizzi MAC nelle loro NIC? Se non hanno alcuna legittima necessità di fare ciò, si potrebbe considerare la possibilità di bloccare il router wifi e gli switch di networking per accettare solo le connessioni da determinati indirizzi MAC. Se lo cambiano, non possono accedere alla networking e all'improvviso il filtraggio / limitazione degli indirizzi MAC diventa una possibilità al router di frontiera.

    La modellazione del traffico per porte non standard può anche essere impiegata per ridurre la quantità di width di banda disponibile per tutte le porte tranne l'http, ftp, smtp, ecc standard. Abbassare la quantità di width di banda disponibile per applicazioni non standard li rende molto less auspicabili .

    Un'altra opzione al router / firewall di confini è solo per consentire alcune porte per il traffico in output, limitato alle porte standard. Questo può o non può essere pratico dato il tuo ambiente.

    Abilita QoS sulla tua roba DD-WRT come descritto qui . Rendere tutto il traffico non port 80/22/25 / IMAP / POP limitato ad una piccola quantità di width di banda e rendere anche quelle porte limitate a qualcosa di ragionevole come 2Mb / s o giù di lì.

    Allora vai a leggere BOFH per idee su cosa fare agli utenti offensivi.

    Se il suo piccolo ufficio dichiara ai dipendenti di smettere di usare azioni bittorent o disciplinari di faccia, spendere denaro / tempo sullo sviluppo del traffico per un piccolo ufficio sembra ridicolo … a less che non ci siano circostanze straordinarie che non avete menzionato.

    Sono sicuro che il direttore del tuo ufficio vorrebbe sapere perché i loro dipendenti hanno il tempo di impostare bittorent, cambiare il loro indirizzo mac, etc in tempo aziendale …

    Se andate per i trucchi tecnici e ignorate l'aspetto sociale, i cattivi proveranno i trucchi vari per evitare le restrizioni. Se implementi qualcosa che contrassegna e forma il traffico bittorrent, cominceranno ad utilizzare la crittografia ecc.

    Se andate solo sociali e cominciate a urlare ai cattivi, diventerai il loro nemico. Soprattutto se questo non è il tuo lavoro principale lì. Potrebbero pensare che li stai limitando per piacere al boss per esempio. E lavorare quotidianamente con persone che ti odiano è triste.

    Un approccio molto efficace che coinvolge quasi nessuna violenza è monitorare l'utilizzo della networking. Imposta qualcosa come mrtg e rendi pubblici i grafici di utilizzo della networking per chiunque in ufficio. Quindi, appena qualcuno si lamenterà di internet lenta, lo invia lì per guardare chi sta perdendo la width di banda.

    In questo modo non dovrai combattere da solo contro gli hogs di width di banda. Non avrai nemless bisogno di combattere affatto, i buoni consumeranno i cattivi.

    Se non si dispone dell'autorità di metterli in fila per la sua posizione e le persone che fanno non sono disposte troppo, allora siete praticamente fuori dalla fortuna. Sì, ci sono modi tecnologici per risolvere questo problema. Sembra che alless alcuni dei tuoi utenti di problemi siano probabilmente abbastanza esperti per evitare praticamente qualsiasi soluzione di tecnologia che si prova. Peggio ancora, per quel tipo di persona che hai validationto implicitamente che è giusto per loro (a causa della mancanza di risposta della gestione) fintanto che lo fanno in modo da evitare i blocchi stradali da lei messi in atto.

    Dovresti dare un'occhiata a M0n0wall e pfSense .

    Credo che le caratteristiche del traffico di pfSense siano migliori e questo è quello che suggerisco.

    La documentazione è purtroppo scarsa, ma se sperimenta un po 'non è difficile capire le cose.
    Basta eseguire la procedura guidata e imparare dalle regole da creare. Inoltre, controllare questa guida per la definizione del traffico .

    Anche se questo non risolverà le tue problematiche sociali, né sarà una soluzione definitiva per far rispettare le regole, credo che sia un buon mezzo.
    È ansible consentire loro di utilizzare la width di banda, assicurandosi che tutto ciò che è più importnte non venga compromesso.

    Hai considerato un proxy web come Squid? Può essere un'opzione. So che i grandi ragazzi possono filtrare al livello del pacchetto.

    Un altro modo di combattere questo è quello di eseguire scansioni di periodo di each postazione di lavoro / porttile fino a quanto è installato. Si vede un client BitTorrent, si contrassegna l'utente. Puoi eseguire lo script per la roba semplice chiedendo al Registro di sistema di:

    HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

    Bloccare le macchine in questione – rimuovere i diritti amministrativi. Essi agiscono come bambini viziati e l'unica cosa che puoi realmente fare è trattarli in questo modo.

    Non funziona per utenti sofisticati, ma una volta ho bloccato alcuni utenti di un sito inserendo una voce dummy in c: \ Windows \ system32 \ etc \ hosts

    Un router SOHO come un Cisco 871w ha la capacità di eseguire l'ispezione di pacchetti in profondità. Potresti negare il P2P in tutte le porte senza influenzare altri traffico.

    Lo stesso vale per Instant Messaging, RDP, ecc. Alcuni client di messaggistica istantanea possono essere configurati per uscire attraverso la port 80 (HTTP), che è improbabile che blocchi. Ma un router come il Cisco 871w funziona ad un livello superiore del model OSI e può rilevare se il traffico che attraversa la port 80 è HTTP o un altro protocollo.

    La ragione della soluzione tecnica è che sono solitamente i tipi di gestione che lo stanno facendo.
    E 'lo stesso problema della sicurezza, quelli con i dati più sensibili sono quelli che non si preoccupano di una password, submit messaggi riservati da Yahoo mentre si è connessi all'aeroporto wifi non crittografato e perde i computer porttili.
    Poiché non puoi applicare le regole con loro – fanno le regole – l'unica soluzione è quella di cui non sanno.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.