我pipe理一个包括无线互联网接入的每周租房。 我允许路由器上的所有出站端口,但是由于客户已下载(或提供)版权内容,因此我的ISP已禁用了两次Internet访问。 所以我想build立一些端口过滤来阻止P2P共享(见下面的免责声明)。 但我不想给99.9%以上的人留下不便。
我的问题是,哪些出站端口通常用于出租/酒店无线上网,或者我可以在哪里find这样的列表? 至lessTCP 80,443,251,110。 尽pipe我自己的电子邮件服务使用995和465进行SSL,但有些可能使用IMAP,我个人使用SSH和FTP,所以我会打开这些。 大概我想我需要打开访问特权端口,并closures1024以上。 是否有白名单我应该为常用的高端端口? 阻止UDP> 1024是否有意义?
免责声明:我意识到任何人回复此消息可能会规避端口过滤和共享内容到他们心中的内容。 我不需要全面的p2p阻止,这需要超过一个端口白名单。 根据租赁合同,任何留在家中的人都要承担互联网使用的责任。 另外,任何有足够的精力来规避端口filter,希望是足够精明的使用某种对等阻塞,从而防止ISP取消服务。
在“访客networking”上打开的相对安全的端口的一般列表:
出站TCP:
53 DNS unless you provide it (yes, TCP. Read the RFCs) 80, 443 Web Browsing 110, 995 EMail (pop3, pop3s) 143, 993 EMail (IMAP, IMAPS) 587 EMail (SMTP Submission RFC 6409) 出站UDP:
53 DNS again, unless you provide it 123 NTP (Optional, but nice.)
入站TCP / UDP: NONE (Only established stateful connections from the above list)
正如其他人所提到的,带宽限制可能是一个更有效的方式来处理torrenters。
作为一项非技术性措施(由您的ISP或版权所有者保护您自己的行为),您还应该为您的租房者提供可接受的互联网使用政策,并指出承租人使用互联网是他们的唯一责任,非法活动不容忍,违反这项政策将导致互联网访问失去这个和所有未来的访问。
有模板的AUP ,但你可以像你想要的那样简单或复杂,我build议把它放在普通纸的一面。
首先,应该获得对所需服务的理解。 我知道这是一个非常痛苦的事情,但是访客ACL只能允许您的组织信任的资源通过。
首先,通过执行“Arin who is”search很容易find目的地地址。 (美国互联网号码注册。)
其次,合法的互联网资源将提供用于其站点/服务的TCP / UDP端口的列表。 阻止所有其他端口。
第三,封杀亚洲,欧洲,非洲,南美洲所有不受信任的资源,TOR出口点和其他匿名代理服务。 APNIC,RIPE,AFRINIC,LACNIC。 (谷歌search)(我为在美国以外没有关系的美国公司提供安全保护,这可能不适用于您)
https://www.dan.me.uk/tornodes有一个TOR出口点的列表。 其他代理服务您需要自行研究。
第四。 使用支持UTM,IDP,第7层应用防火墙和其他威胁检测技术的更好的networking设备。
我使用Juniper SRX,但也有来自多个供应商的其他类似产品和服务。
如果不满意,请考虑可以为您处理安全问题的知名公司提供的基于云的安全解决scheme。