由于数字千年版权法案删除通知,试图阻止Cisco ASA 5520上客户端的bitTorrentstream量。
ASA软件:7.2 ASDM:5.2
该设备目前仅用于NAT和VPN。 有没有一种简单的方法来阻止此设备上的BitTorrent TCP端口6881-6999?
我试图做到这一点,遇到了一些问题。 最大的问题是,目前大多数BT客户端将会select一个不在该范围内的随机端口。 封堵6881-6999只是一个开始,但会轻易被打败。 即使阻塞所有的UDP和高端口,客户端最终也会切换到端口80和443(HTTP和HTTPS),这大概是你不想阻塞的。
我还没有find完全阻止bittorrent的好方法。 Bittorrent已经发展和适应各种各样的块,并将继续躲避企图阻止它。 我确信有一种方法可以使用深度包检测来识别和closures它,但是我没有机会看到它。 而且我不确定这会是多么成功,因为现在默认使用encryption的BitTorrent客户端。
我一直在我的ASA上使用这个代码,至less在一定程度上帮助了这种情况。 我确信这会阻止其他有用的东西,但我没有任何用户的抱怨。
object-group service Blocked-UDP-Ports udp description All ports blocked for Bit Torrent UDP DHT (all ephemeral ports except VPN encapsulation) port-object range 10001 65535 port-object range 1024 1193 port-object range 1195 9999 object-group service BitTorrent-Tracker tcp description TCP Ports used by Bit Torrent for tracker communication port-object eq 2710 port-object range 6881 6999 access-list inside_access_in extended deny udp any any object-group Blocked-UDP-Ports log warnings inactive access-list inside_access_in extended deny tcp any any object-group BitTorrent-Tracker log warnings inactive 只有简单的方法来阻止这是默认拒绝所有出口stream量,并允许特定端口的服务。 这是一个PITA,但BitTorrent客户端不会听1024端口,所以443和80是安全的放出。 那么dns,ssh,ftp,pop3,imap,sip,whois,telnet也是如此。