Torrent vs NBAR возможно ли?

@kolka88 · Регистрация: 25.10.2012

Author24 — интернет-сервис помощи студентам

Здравствуйте многоуважаемые форумчане. Решил написать сюда, так как погуглив информацию, толкового не нашел. Можете пожалуйста подсказать, реально ли блокировать торрентовский траффик при помощи NBAR? IOSа в целом? Немного предистории, сейчас в данный момент стоит router cisco 2911 и есть проксик на freebsd+squid все это дело чудно работает в связке по протоколу wccp. Проксик даже не дает качать им файлы с разрешением .torrent, но как говорится пользователь тоже далеко не всегда глуп, начали таскать файлы с дома, а тут качать. Нашел описание про NBAR дали совет сделать так:

Код

class-map match-any denied_п2п 
        match протокол .... 

    policy-map block_п2п 
        class denied_п2п 
            drop 
        class class-default 

interface FastEthernet0 
    service-policy input block_п2п 
или service-policy аутпут block_п2п

И все бы ничего, сначала даже обрадовался обнаружив что мой торрент умер..., но вот незадача, через некоторое время подменяется udp порт, и закачка пошла... посмотрел командой sh ip nbar port-map
получил след:

Код

port-map bittorrent               udp 3724 
port-map bittorrent               tcp 3724 1080 6969 6881 6882 6883 6884 6885 6886 6887 6888 6889

то есть я так понял эти порты режутся. Как - нибудь можно подпилить данное дело, чтобы совсем уж никак не качали?

Jabbson · 05.08.2013, 13:38

Сообщение от kolka88

реально ли блокировать торрентовский траффик при помощи NBAR? IOSа в целом?

В случае динамических портов (настройка по умолчанию уже во всех клиентах) - нереально.

@kolka88 · 05.08.2013, 13:46 **[ТС]**

А каким макаром тогда реально? Что из девайсов поставить? Можете плз подсказть, в какую сторону смотреть?, Еще много пишут на уровне ACL но я так думаю все начнут по 80 порту ломиться((( Может можно хотя бы скорость им зарезать? или еще чего?

Jabbson · 05.08.2013, 14:00

Сообщение от kolka88

Еще много пишут на уровне ACL но я так думаю все начнут по 80 порту ломиться(((

однозначно и по другим портам, которые не закроешь.

Из цисковского - Cisco ASA CX, Cisco SCE и если не ошибаюсь Cisco IronPort для веба.

Добавлено через 59 секунд

Сообщение от kolka88

Может можно хотя бы скорость им зарезать? или еще чего?

самый верный способ - дать в челюсть и сказать, что это может повториться. или депремировать - действует. инфа 100% ))

@kolka88 · 05.08.2013, 14:05 **[ТС]**

Сообщение от Jabbson

самый верный способ - дать в челюсть и сказать, что это может повториться. или депремировать - действует. инфа 100% ))

Это да вкурсе =).

Сообщение от Jabbson

Из цисковского - Cisco ASA CX, Cisco SCE и если не ошибаюсь Cisco IronPort для веба.

А можно плз ценник привести? Хотябы приблизительный? Если не затруднит?

Jabbson · 05.08.2013, 15:09

Сообщение от kolka88

А можно плз ценник привести? Хотябы приблизительный? Если не затруднит?

в GPL (без скидки)
SCE ~$100-150K за шасси + модуль
ASA ~$5-100K за железо в зависимости он необходимостей, дополнительно $1,5К-23К (1год)/$3К-50К (3 года)/$8K-90K (5 лет) за лицензии в зависимости от железа и типа лицензии.
IPort ~$4-20K за апплайнс + лицензия, точно сейчас не могу понять сколько за лицензию, могу узнать позже.

@jlevistk · 05.08.2013, 15:49

Не по теме:

скидка обычно в районе 40%

Jabbson · 05.08.2013, 15:59

Сообщение от jlevistk

скидка обычно в районе 40%

Не по теме:

это кому как ))

@SonicQ · 05.08.2013, 16:23

Запретить копировать / открывать с внешних носителей . Прога Lumension Endpoint security.
И фиг кто тебе откроет торрент файлы, да и это уже не актуально, скоро торренты закроют)

@kolka88 · 06.08.2013, 05:42 **[ТС]**

Сообщение от Jabbson

в GPL (без скидки)
SCE ~$100-150K за шасси + модуль
ASA ~$5-100K за железо в зависимости он необходимостей, дополнительно $1,5К-23К (1год)/$3К-50К (3 года)/$8K-90K (5 лет) за лицензии в зависимости от железа и типа лицензии.
IPort ~$4-20K за апплайнс + лицензия, точно сейчас не могу понять сколько за лицензию, могу узнать позже.

Понятно вообщем, что действительно надо приказом блокировать. Спасибо за ответы.

Добавлено через 3 часа 43 минуты
Хотя есть еще 1 момент который упал мне в голову))) Если запретить все порты и дать только те что разрешены, получается они начнут ломиться по 80 порту) но! у меня прокся прозрачная, теоритически завернется все на проксю, а там волей не волей 10 мегабайт и все свободны)), попробую, о результатах постараюсь описать.

Jabbson · 06.08.2013, 11:24

Еще хорошо действует такая вещь как анализатор трафика на большом экране в общем доступе - где пофамильно видно кол-во трафика.

@kolka88 · 07.08.2013, 10:50 **[ТС]**

Сообщение от Jabbson

Еще хорошо действует такая вещь как анализатор трафика на большом экране в общем доступе - где пофамильно видно кол-во трафика.

Уже думаю прикрутить статистику для каждого пользователя) Шоб как говорится знали

. Спасибо огромное за советы и ответы, буду пытаться победить данную заразу).

Jabbson · 07.08.2013, 10:55

Всегда пожалуйста!

@kolka88 1 / 1 / 1 Регистрация: 25.10.2012 Сообщений: 63
		1
	Torrent vs NBAR возможно ли? 05.08.2013, 07:33. Показов 4219. Ответов 12 Метки нет (Все метки) Здравствуйте многоуважаемые форумчане. Решил написать сюда, так как погуглив информацию, толкового не нашел. Можете пожалуйста подсказать, реально ли блокировать торрентовский траффик при помощи NBAR? IOSа в целом? Немного предистории, сейчас в данный момент стоит router cisco 2911 и есть проксик на freebsd+squid все это дело чудно работает в связке по протоколу wccp. Проксик даже не дает качать им файлы с разрешением .torrent, но как говорится пользователь тоже далеко не всегда глуп, начали таскать файлы с дома, а тут качать. Нашел описание про NBAR дали совет сделать так: Код class-map match-any denied_п2п match протокол .... policy-map block_п2п class denied_п2п drop class class-default interface FastEthernet0 service-policy input block_п2п или service-policy аутпут block_п2п И все бы ничего, сначала даже обрадовался обнаружив что мой торрент умер..., но вот незадача, через некоторое время подменяется udp порт, и закачка пошла... посмотрел командой sh ip nbar port-map получил след: Код port-map bittorrent udp 3724 port-map bittorrent tcp 3724 1080 6969 6881 6882 6883 6884 6885 6886 6887 6888 6889 то есть я так понял эти порты режутся. Как - нибудь можно подпилить данное дело, чтобы совсем уж никак не качали? 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	05.08.2013, 13:38	2
	Сообщение от kolka88 реально ли блокировать торрентовский траффик при помощи NBAR? IOSа в целом? В случае динамических портов (настройка по умолчанию уже во всех клиентах) - нереально. 0

@kolka88 1 / 1 / 1 Регистрация: 25.10.2012 Сообщений: 63
	05.08.2013, 13:46 [ТС]	3
	А каким макаром тогда реально? Что из девайсов поставить? Можете плз подсказть, в какую сторону смотреть?, Еще много пишут на уровне ACL но я так думаю все начнут по 80 порту ломиться((( Может можно хотя бы скорость им зарезать? или еще чего? 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	05.08.2013, 14:00	4
	Сообщение от kolka88 Еще много пишут на уровне ACL но я так думаю все начнут по 80 порту ломиться((( однозначно и по другим портам, которые не закроешь. Из цисковского - Cisco ASA CX, Cisco SCE и если не ошибаюсь Cisco IronPort для веба. Добавлено через 59 секунд Сообщение от kolka88 Может можно хотя бы скорость им зарезать? или еще чего? самый верный способ - дать в челюсть и сказать, что это может повториться. или депремировать - действует. инфа 100% )) 0

@kolka88 1 / 1 / 1 Регистрация: 25.10.2012 Сообщений: 63
	05.08.2013, 14:05 [ТС]	5
	Сообщение от Jabbson самый верный способ - дать в челюсть и сказать, что это может повториться. или депремировать - действует. инфа 100% )) Это да вкурсе =). Сообщение от Jabbson Из цисковского - Cisco ASA CX, Cisco SCE и если не ошибаюсь Cisco IronPort для веба. А можно плз ценник привести? Хотябы приблизительный? Если не затруднит? 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	05.08.2013, 15:09	6
	Сообщение от kolka88 А можно плз ценник привести? Хотябы приблизительный? Если не затруднит? в GPL (без скидки) SCE ~$100-150K за шасси + модуль ASA ~$5-100K за железо в зависимости он необходимостей, дополнительно $1,5К-23К (1год)/$3К-50К (3 года)/$8K-90K (5 лет) за лицензии в зависимости от железа и типа лицензии. IPort ~$4-20K за апплайнс + лицензия, точно сейчас не могу понять сколько за лицензию, могу узнать позже. 0

@jlevistk
	05.08.2013, 15:49 #7
	Не по теме: скидка обычно в районе 40% 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	05.08.2013, 15:59	8
	Сообщение от jlevistk скидка обычно в районе 40% Не по теме: это кому как )) 0

@SonicQ 286 / 186 / 18 Регистрация: 20.02.2012 Сообщений: 926
	05.08.2013, 16:23	9
	Запретить копировать / открывать с внешних носителей . Прога Lumension Endpoint security. И фиг кто тебе откроет торрент файлы, да и это уже не актуально, скоро торренты закроют) 0

@kolka88 1 / 1 / 1 Регистрация: 25.10.2012 Сообщений: 63
	06.08.2013, 05:42 [ТС]	10
	Сообщение от Jabbson в GPL (без скидки) SCE ~$100-150K за шасси + модуль ASA ~$5-100K за железо в зависимости он необходимостей, дополнительно $1,5К-23К (1год)/$3К-50К (3 года)/$8K-90K (5 лет) за лицензии в зависимости от железа и типа лицензии. IPort ~$4-20K за апплайнс + лицензия, точно сейчас не могу понять сколько за лицензию, могу узнать позже. Понятно вообщем, что действительно надо приказом блокировать. Спасибо за ответы. Добавлено через 3 часа 43 минуты Хотя есть еще 1 момент который упал мне в голову))) Если запретить все порты и дать только те что разрешены, получается они начнут ломиться по 80 порту) но! у меня прокся прозрачная, теоритически завернется все на проксю, а там волей не волей 10 мегабайт и все свободны)), попробую, о результатах постараюсь описать. 0

	07.08.2013, 10:55

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	06.08.2013, 11:24	11
	Еще хорошо действует такая вещь как анализатор трафика на большом экране в общем доступе - где пофамильно видно кол-во трафика. 0

@kolka88 1 / 1 / 1 Регистрация: 25.10.2012 Сообщений: 63
	07.08.2013, 10:50 [ТС]	12
	Сообщение от Jabbson Еще хорошо действует такая вещь как анализатор трафика на большом экране в общем доступе - где пофамильно видно кол-во трафика. Уже думаю прикрутить статистику для каждого пользователя) Шоб как говорится знали . Спасибо огромное за советы и ответы, буду пытаться победить данную заразу). 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	07.08.2013, 10:55	13
	Всегда пожалуйста! 0