ROS禁用P2P思路及问题(关键是遇到了问题)
目前的网络环境是一条ADSL在一栋楼上通过路由器做共享,由于带宽太低,所有只要有一个用户开启P2P下载软件,全楼用户都会受到严重影响。所以决定使用ROS对P2P进行阻截,但是过程有点问题,有些东西没有按照预先的思路走下去,主要是才疏学浅,所以想把思路发上来供大家参考,然后还请大家指点下下...网络拓扑结构大概如下:
http://hiphotos.baidu.com/ivven/pic/item/f360ae19f753634143a9adb6.jpg
ROS配置如下:
/interface bridge add name="bri" disabled=no
/interface bridge port add interface=ether1 bridge=bri
/interface bridge port add interface=ether2 bridge=bri
> ip firewall fil print
0 chain=forward p2p=all-p2p action=drop
1 chain=forward protocol=tcp dst-port=80 action=accept
2 chain=forward protocol=tcp dst-port=0-1025 action=accept
3 chain=forward protocol=udp dst-port=53 action=accept
4 chain=forward protocol=udp dst-port=4000-4003 action=accept
5 chain=forward protocol=tcp dst-port=8000 action=accept
6 chain=forward protocol=udp dst-port=8000 action=accept
7 X chain=forward protocol=tcp src-port=0-65535 dst-port=0-65535 action=drop
8 X chain=forward protocol=udp src-port=0-65535 dst-port=0-65535 action=drop
>
思路:
1.利用反关闭端口实现拦截P2P
2.利用ROS自带识别P2P协议拦截P2P流量
3.使用静态ARP绑定( 未添加)
4.使用Qos来限制总上行、下行带宽( 未添加)
5.使用Qos限制每用户上行下行带宽( 未添加)
6.内网使用ARP防火墙软件保护内网安全( 未添加)
按照上述已做内容,会出现故障,如果启用最后两条规则QQ可以启用,但是网页浏览不能访问,不知道是不是规则做的有问题,但是允许规则应该是正确的 QQ在启用最后两条全封闭策略后仍然可以访问,难道IE浏览需要其他端口?还是端口范围添加规则有问题(rule2)?
有实现上述环境的同行请赐教下....
畅所欲言
[ 本帖最后由 ivven 于 2007-5-4 13:28 编辑 ] 沉的这么快,60个人看没一个人说话....
已经通过PPPOE SERVER限制用户带宽来实现了部分效果。效果还算差不多 你ADSL上行是多少啊,太小了的话,做共享也没有太大意义 顶先 你的第4条规则就是开启QQ的
你的最后两条是关闭什么的啊?
在访问网站的时候我们的S-PORT是1024-65535的其中一个你说你关闭了所有的端口还
上什么网啊?> 什么游戏都玩不成 `````````` 把
0 chain=forward p2p=all-p2p action=drop
放到最后面试试。。。 :( 我还是不怎么懂,有谁做个超级详细的教程出来吗? 防火墙的执行是从上往下的
禁止的条目太笼统所以数据根本过不了
你最好指定网段和 网卡(interface)
作PPPOE最好了 直接限制带宽
不过ADSL做共享客户多了等于自杀 本身ADSL的MODEM就是瓶颈
页:
[1]