SOHO-控制来自问题用户的bittorrent流量

我在一个小型办公室中管理网络（软件开发人员是我的“真正的工作”），并且有几个用户通过运行bittorrent击败了我们的Internet连接。在上载端（20Mbps）几乎瘫痪的效果和潜在的责任之间，我想尽可能地将其关闭。

有关问题或建议的一些快速详细信息：

• 我们有2台运行最新DD-WRT的路由器（1台Linksys，1台Buffalo），以及一台运行最新工厂软件的D-Link DIR-655

• 互联网是FiOS 20/20计划

• 用户通过WiFi和有线连接，每个人都使用DHCP

• 购买确实可靠地完成技巧的新硬件（假设<$ 1000）是一种选择

• 我们已经制定了互联网使用政策，是的，但是我想通过IT尽可能多地执行它，因为我们都知道有些人只是不能遵守规则。是的，我知道处理这是一个社会问题，但是这部分超出了我的权限/控制范围。

• 通用策略（完全阻止通过MAC / IP，阻止端口等的访问）将无法正常工作。至少有2个人定期在其以太网接口上对MAC地址进行重新编程。

我知道可以将BT客户端配置为使用其他端口，因此仅阻止标准BT端口范围是不可行的。

我简直不敢相信我是这只猫的第一人。或者也许只有IT部门。设备预算大的猫可以剥皮吗？

谢谢你的帮助！

没错，这确实是一个社会问题，需要管理层加以解决。如果某些人正在影响网络，以至于给其他人造成问题，则需要对他们进行处理，并解释说，如果保持这种状况，将会带来什么后果。重新编程其NIC上的MAC地址？如果他们没有这样做的合法需要，则可以考虑锁定wifi路由器和网络交换机，使其仅接受来自某些MAC地址的连接。如果他们更改了它，它们将无法进入网络，并且突然在边界路由器上实现MAC地址过滤/限制的可能性。

还可以采用非标准端口的流量整形来减少除标准http，ftp，smtp等以外的所有端口的可用带宽量。降低非标准应用程序的可用带宽量会使它们变得不那么理想。

边界路由器/防火墙的另一种选择是仅允许某些端口进行出站通信，仅限于标准端口。鉴于您的环境，这可能可行，也可能不可行。

如此处所述，在 DD-WRT资料上启用QoS 。将所有非端口80/22/25 / IMAP / POP流量限制为很小的带宽，甚至将那些端口限制为合理的值，例如2Mb / s左右。

然后，请阅读BOFH，以了解如何对违规用户采取措施。

如果它的小型办公室告诉员工停止使用棘手的行为或面临纪律处分，那么花钱/时间在小型办公室的流量整形上似乎是荒谬的……除非您没有提到某些特殊情况。

我确定您办公室的经理会想知道为什么他们的员工有时间在公司时间设置痛苦，更改其Mac地址等...

如果您寻求技术技巧而忽略了社交方面，那么坏家伙会尝试其他技巧来避免这些限制。如果您实现标记和塑造Bittorrent流量的方法，它们将开始使用加密等。

如果您只参加社交活动并开始对坏人大喊大叫，您将成为他们的敌人。特别是如果这不是您在那里的主要工作。他们可能会认为您是在限制他们取悦老板。每天与讨厌你的人一起工作是可悲的。

一种几乎不涉及暴力的非常有效的方法是监视网络使用情况。设置mrtg之类的内容，并使办公室中的任何人都可以公开使用网络使用情况图。因此，一旦有人抱怨互联网速度慢，就把他送到那里看看谁在浪费带宽。

这样，您就不必独自对抗带宽猪。您甚至根本不需要战斗，好的用户会吃掉坏的用户。

如果您无权向他们如此渴望，而这样做的人也不愿意，那么您很不幸。是的，有解决此问题的技术方法。看来，至少您的某些问题用户可能很聪明，可以避免您尝试的任何技术解决方案。更糟糕的是，对于这种人，您现在已经隐式地验证了他们可以这样做（因为没有管理层的回应），只要他们这样做可以避免您遇到的障碍。

您应该看看M0n0wall和pfSense。

我相信pfSense的流量调整功能会更好，这就是我建议的功能。

不幸的是，文档非常稀缺，但是如果您稍作尝试，就会发现问题并不难。
只需运行向导并从它将创建的规则中学习即可。另外，请参阅本流量调整指南。

尽管这不会解决您的社会问题，也不会成为执行规则的最终解决方案，但我相信这是一个很好的中间立场。
您可以允许他们使用带宽，同时确保其他更重要的内容都不会受到影响。

您是否考虑过像Squid这样的Web代理？那可能是一种选择。我知道大男孩可以在数据包级别进行过滤。

解决此问题的另一种方法是对每个工作站/笔记本电脑进行定期扫描，直到安装完毕为止。您会看到一个BitTorrent客户端，并标记了该用户。您可以通过在以下位置查询注册表来编写简单脚本：

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

锁定那些机器-删除管理员权限。他们的行为就像被宠坏的孩子一样，而您唯一能做的就是那样对待他们。

它不适用于复杂的用户，但是我曾经通过在c：\ Windows \ system32 \ etc \ hosts中放置一个虚拟条目来阻止某些用户访问站点

SOHO路由器（如Cisco 871w）具有进行深度数据包检查的能力。您将可以在所有端口上拒绝P2P，而不会影响其他流量。

即时消息传递，RDP等也是如此。可以将某些即时消息传递客户端配置为通过端口80（HTTP）出去，您不太可能会阻止它。但是，像Cisco 871w这样的路由器实际上在OSI模型的更高级别上运行，并且可以检测经过端口80的流量是否为HTTP或某些其他协议。

采用技术解决方案的原因是通常是由管理类型来完成的。
安全性也是同样的问题，那些数据最敏感的人就是不打扰密码，在登录未加密的机场wifi时从Yahoo发送机密电子邮件并丢失笔记本电脑的人。
由于您不能使用它们来执行规则-它们可以制定规则-唯一的解决方案是他们不知道的解决方案。