Jump to content
Калькуляторы

ACL на DES-3526 для локального торрента

Кто-нибудь реализовывал подобное на DES-3526?

Собственно вопрос вот в чём: что необходимо разрешить для нормального функционирования только локального торрента?

Т.е. разрешить только торрент трафик между клиентами локальной подсети (например, 192.168.96.0/20).

Весь остальной межабонентский трафик должен быть закрыт, ну или на самый крайний случай, хотя бы достопочтенный NetBios.

Доступ к треккеру не учитываем, для легальных пользователей он разрешен "выше".

Задача осложняется еще и тем, что в наличии всего два свободных access профиля (7 из 9 имеющихся в арсенале 3526, уже задействованы).

Плюс к этому неплохо бы еще и запретить полностью весь p2p для заблокированных пользователей.

 

 

Share this post


Link to post
Share on other sites

Собственно вопрос вот в чём: что необходимо разрешить для нормального функционирования только локального торрента?

Грубо говоря - всё. Ну в крайнем случае - хотя бы порты выше 1024 (зарубится само собой нетбиос и веб/фтп-сервера юзеров на стандартном порту, остальное, в т.ч. радмин и иже с ним, игровые сервера и т.д., будет жить и здравствовать). Потому как отделить торрент траффик от не-торрент траффика, да еще и не шибко догадливой железкой - нереально.

Share this post


Link to post
Share on other sites
Т.е. разрешить только торрент трафик
Вот когда вы четко сможете сказать что есть торрент, а что не торрент -тогда можно будет и реализовать задуманное

К сожалению торрент работает по разным портам и протоколам, поэтому точно идентифицировать его сложно.

 

Как закрыть нетбиос примеров масса.

Share this post


Link to post
Share on other sites
Собственно вопрос вот в чём: что необходимо разрешить для нормального функционирования только локального торрента?
Грубо говоря - всё. Ну в крайнем случае - хотя бы порты выше 1024 (зарубится само собой нетбиос и веб/фтп-сервера юзеров на стандартном порту, остальное, в т.ч. радмин и иже с ним, игровые сервера и т.д., будет жить и здравствовать). Потому как отделить торрент траффик от не-торрент траффика, да еще и не шибко догадливой железкой - нереально.

Ну это понятно, что выделить только торрент не получится. Не совсем верно сформулировал вопрос.. Правильнее наверное будет так - как максимально ограничить межабонентский трафик на свитче (особенно "стандартные" сервисы), обеспечив при этом нормальное функционирование локального торрента?

И как всё это "упаковать" в два профиля, да еще и с минимальным кол-вом правил в этих профайлах (с этим тоже есть проблемы)? Ну никак не соображу.. :(

 

Вот когда вы четко сможете сказать что есть торрент, а что не торрент -тогда можно будет и реализовать задуманное

К сожалению торрент работает по разным портам и протоколам, поэтому точно идентифицировать его сложно.

Как закрыть нетбиос примеров масса.

Закрыть только нетбиос, конечно хорошо, но этого мало.. Хотелось бы бОльшего, например все, что выше порта 2700. Но для этого скорее всего потребуется как минимум два профайла (один для tcp и один для udp). И где тогда разрешать всё остальное (тот же icmp, например), учитывая то, что последнее правило в ACL запрещает все?

 

P.S. Я так понимаю, что подобной задачей никто не озабачивался, а я хочу странного от 3526?

Edited by AlKov

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this