SOHO-問題のあるユーザーからのbittorrentトラフィックを抑制する

私は小規模なオフィスでネットワークを管理しており（SW開発は私の「本当の仕事」です）、bittorrentを実行することでインターネット接続を一気に打ち負かすユーザーが何人かいます。アップロード側のほぼ壊滅的な影響（20Mbps）と潜在的な責任の間で、私はこれをできるだけ遮断したいと思います。

質問や提案を見越していくつかの簡単な詳細：

• 最新のDD-WRTを実行する2台のルーター（1台のLinksys、1台のバッファロー）と、最新の工場出荷時のソフトウェアが何であれ、1台のD-Link DIR-655を実行しています。

• インターネットはFiOS 20/20プランです

• ユーザーはWiFiと有線で接続し、誰もがDHCPを使用

• 実際にトリックを確実に実行する新しいハードウェア（たとえば、1000ドル未満）を取得することはオプションです

• はい、インターネットの利用ポリシーを定めていますが、一部の人々はルールに従えないことがわかっているため、ITを介してできる限りそれを適用したいと考えています。はい、これに対処することは社会的な問題であることは知っていますが、この部分は私の権限/管理の範囲外です。

• 一般的な戦略（MAC / IPによるアクセスを完全にブロックする、ポートをブロックするなど）は機能しません。少なくとも2人が定期的にイーサネットインターフェイスのMACアドレスを再プログラムしています。

他のポートを使用するようにBTクライアントを構成できることを理解しているため、標準のBTポート範囲をブロックするだけでは不十分です。

私がこの猫の皮を剥いた最初の人だとは信じられません。あるいは、IT部門だけかもしれません。設備予算が大きい場合、この猫の皮を剥ぐことができますか？

ご協力いただきありがとうございます！

そうです、それは本当に経営者が取り組む必要のある社会問題です。特定の人々がネットワークに影響を与えて、他の人々に問題を引き起こしている場合は、その人々に対処し、それを維持した場合の結果について説明する必要があります。NICのMACアドレスを再プログラミングしますか？彼らがそうする必要がある正当な必要がない場合は、特定のMACアドレスからの接続のみを受け入れるようにwifiルーターとネットワークスイッチをロックダウンすることを検討してください。変更すると、ネットワークに接続できなくなり、境界ルーターで突然MACアドレスのフィルタリング/制限が発生する可能性があります。

非標準ポートのトラフィックシェーピングを使用して、標準のhttp、ftp、smtpなどを除くすべてのポートで使用可能な帯域幅の量を減らすこともできます。非標準アプリケーションで使用できる帯域幅の量を減らすと、それらのポートはあまり望ましくなくなります。 。

境界ルーター/ファイアウォールでの別のオプションは、標準ポートに制限された、特定のポートのみを送信トラフィックに許可することです。これは、環境によっては実用的でない場合があります。

ここで説明するように、DD-WRTに関するQoSを有効にします。すべての非ポート80/22/25 / IMAP / POPトラフィックを非常に少量の帯域幅に制限し、それらのポートも2Mb / s程度の適切なものに制限します。

次に、BOFHを読んで、問題のあるユーザーに対して何をすべきかについてのアイデアを探します。

その小さなオフィスが従業員に暴力的または懲戒処分の使用をやめるように言った場合、小さなオフィスのトラフィックシェーピングにお金と時間を費やすことはばかげているように思われます...

あなたのオフィスのマネージャーは、なぜ彼らの従業員が会社の時間にbittorentをセットアップしたり、MACアドレスを変更したりする時間があるのか​​知りたいと思うでしょう...

あなたが技術的なトリックに行き、社会的な側面を無視するならば、悪者は制限を回避するためにその他のトリックを試みます。ビットトレントトラフィックをマークおよびシェーピングするものを実装すると、暗号化などの使用が開始されます。

あなたが社交的だけに行き、悪者に怒鳴り始めれば、あなたは彼らの敵になります。特にこれがあなたの主な仕事ではない場合。彼らはあなたが彼らを例えば上司を喜ばせるために制限していると思うかもしれません。そして、あなたを嫌う人々と毎日仕事をするのは悲しいことです。

暴力をほとんど伴わない非常に効果的なアプローチは、ネットワークの使用状況を監視することです。mrtgのようなものをセットアップし、ネットワーク使用状況グラフをオフィスの誰でも利用できるようにします。だから誰かが遅いインターネットについて不平を言うとすぐに-帯域幅を浪費している人を見るためにそこに彼を送ってください。

このようにして、帯域幅の独占に対して単独で戦う必要はありません。戦う必要すらありません。良いユーザーは悪いユーザーを食べます。

あなたが彼らのために最悪の方法でそれらを叩く権限を持っていない、そしてそうする人々もあまり喜んでいないなら、あなたはかなり運が悪い。はい、これに対処する技術的な方法があります。問題のあるユーザーの少なくとも一部は、おそらくあなたが試してみるほとんどの技術的ソリューションを回避するのに十分な知識を持っているようです。さらに悪いことに、そのような人にとっては、彼らがあなたが立てた障害を回避する方法でそれを行う限り、彼らが（管理応答がなかったため）実行してもよいことを暗黙的に検証しました。

M0n0wallとpfSenseを確認する必要があります。

私はpfSenseのトラフィックシェーピング機能がより優れていると思います。

残念ながらドキュメントは非常に少ないですが、少し試してみると理解するのは難しくありません。
ウィザードを実行して、作成されるルールから学ぶだけです。また、このトラフィックシェーピングガイドも確認してください。

これはあなたの社会的問題を解決することも、ルールを施行する最終的な解決策になることもありませんが、私はそれが良い中間点であると信じています。
より重要な他のすべてが影響を受けないようにしながら、帯域幅の使用を許可できます。

SquidのようなWebプロキシを検討しましたか？それは一つの選択肢かもしれません。ビッグボーイがパケットレベルでフィルタリングできることは知っています。

これに対処する別の方法は、インストールされているものまで各ワークステーション/ラップトップの定期スキャンを実行することです。BitTorrentクライアントが表示され、ユーザーにフラグを立てます。次の場所でレジストリにクエリを実行することで、簡単なスクリプトを作成できます。

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \

それらのマシンをロックダウンします-管理者権限を削除します。彼らは甘やかされて育った子供のように振る舞い、あなたが本当にできる唯一のことは彼らをそのように扱うことです。

洗練されたユーザーには機能しませんが、c：\ Windows \ system32 \ etc \ hostsにダミーのエントリを配置して、特定のユーザーをサイトからブロックしたことがあります。

Cisco 871wのようなSOHOルーターは、詳細なパケット検査を行うことができます。他のトラフィックに影響を与えることなく、すべてのポートでP2Pを拒否できます。

同じことは、インスタントメッセージング、RDPなどにも当てはまります。一部のインスタントメッセージングクライアントは、ポート80（HTTP）を経由するように構成できます。ただし、Cisco 871wのようなルータは、実際にはOSIモデルのより高いレベルで動作し、ポート80を通過するトラフィックがHTTPまたはその他のプロトコルであるかどうかを検出できます。

技術的な解決策の理由は、通常それを行っているのは管理の種類であるからです。
これはセキュリティの問題と同じです。最も機密性の高いデータを持っているのは、パスワードを気にしない、暗号化されていない空港のwifiにログオンしているときにYahooから機密メールを送信し、ラップトップを紛失するものです。
あなたは彼らと一緒にルールを施行することができないので-彼らはルールを作ります-唯一の解決策は彼らが知らないものです。