เรื่องการ Block BitTorrent แบบอยู่หมัด

เรื่องการ Block BitTorrent แบบอยู่หมัด ผมเคยเข้ามาถามใน Thaiadmin นี้หลายรอบแล้วครับแต่ก็ยังไม่มีคำตอบให้ผม แต่วันนี้ผมสามารถทำได้แล้ว และอยู่หมัดเลยครับ
สำหรับคนใช้ Switch และ Router หรืออุปกรณ์ ของ Allied Telesyn นะครับ
ใช้คำสังดังนี้นะครับ
ใน ที่นี้ผมมี IP จริง สมมุติเป็น 203.0.0.1 และผมทำ NATที่ Switch L3 ของ Allied ผมกำหนด Vlan ภายในวงเป็น Vlan 26 และกำหนด vlan ออก Internet เป็น Vlan 25

enable firewall
create firewall policy="office"
enable firewall policy="office" icmp_f=all
add firewall policy="office" int=vlan21 type=private (บรรทัดนี้กำหนดให้ vlan21 ที่เป็น iP จริงเป็น private)
add firewall policy="office" int=vlan25 type=public (บรรทัดนี้กำหนดให้ vlan25 ที่เป็น iP จริงเป็น pubic)
add firewall policy="office" rule=1 int=vlan25 protocal=udp port=6881 6999 action=nonat (บรรทัดนี้กำหนดให้ vlan25 ที่เป็น iP จริง บังคับ Protocal เป็น UDP ที่ Port 6881-6999 ซึ่งเป็น Port BitTorrent ไม่ให้ออกไปที่ NAT)
add firewall poli="office" nat=enhanced int=vlan21 gblin=vlan25 gblip=203.0.0.1 (บรรทัดนี้กำหนดให้บริการ NAT เปิดให้ Vlan21 ออกที่ Vlan25 ที่ IP 203.0.0.1 )

งงไม่ครับถ้างงถามมาได้ครับผมไม่หวงความรู้ หัวอกเดียวกันครับ
เป็นวิธีที่ง่าย แลเข้าใจง่ายครับ ที่ผมหาวิธีมาให้เพราะผมเห็นมีคนทำแต่ Cisco หรือด้วย Linux ของยี้ห้ออื่นไม่มีครับช่วยกันครับ
**** หมายเหตุ****
ผมทดลองมา 1 เดือน Internet ของปกติครับแต่ก่อน เต็มเยียดที่ 12Mbit/s ตอนนี้สบายครับ


================================================

แล้วถ้า user เปลี่ยนจาก port ในช่วงนี้ (ส่วนใหญ่จะเป็นครับ)เพราะ Bittorent ในส่วนหนึ่งสามารถเปลี่ยน port ได้เช่น Bitcomet

====================================================
แสดงว่าท่านยังไม่เข้าใจคอนเซปของ Bittorrent จริงๆครับผม เพราะ port ใช้งานของ P2P ชนิดนี้มันกว้างมากๆๆครับ ถ้าเจอ user ที่ไม่ค่อยรู้เรื่องอาจจะบล๊อกอยู่ครับอันนี้ผมไม่ได้ว่าอะไรใน คอนเซปของคุณนะครับ แต่อยากจะช่วยแชร์ความรู้สึกอ่ะครับ เพราะผมเจอมามากแล้วพวก user หัวหมอ ตอนแรกผมก็บลีอกแบบคุณนั่นแหละครับแต่ก็เอาไม่อยู่เลยตั้งใช้วิชามาร บล๊อกทุก port จะใช้อะไรค่อยเปิดให้ทีหลัง

ต้อง block torrent tracker และ block *.torrent

block port 6881-6999  ไม่ได้ผลอะไรถ้าเจอ user หัวหมอ จากตัวอย่างดังรูป ที่ผมแนบมาใช้ BitComet
ในการติดต่อพอผม ตั้งค่าให้ใช้ port 10000  มันก็ออกได้ล่ะ ถ้า admin ไม่มีกันป้องกันที่ดี
ทางที่แนะนำ

เปิด port tcp  80  443  25  110   143  8080  53
       port  udp 53
โดย

80      เว็บ
443    https
25      ส่งเมล
110     pop3
143     imap
8080  proxy
53      dns
1863  msn
4000  qq

นอกนั้นปิดโลด

 

ของผมปัญหามากกว่านี้อีก ข้อแม้เยอะ userรู้มากอีกต่างหาก

1. block การดาวน์โหลดไฟล์ *.torrent  พวกก็โหลดไฟล์ *.torrent มาจากบ้านแล้วมาใช้เน็ทที่ทำงานโหลดตัวงาน
2. blockเน็ท ก็มีข้ออ้างอีกต้องใช้ในการทำงาน
3. บล็อก port เปิดเฉพาะ port ที่ใช้งาน พวกก็พยายามหา port ที่ออกได้
4. blockเว็บที่เป็น tracker  ก็มากมายหลายที่เหลือเกินไอ้ที่เรารู้มันรู้ก็เยอะ  แต่ไอ้เว็บที่มันรู้แต่เราไม่รู้นี่เยอะกว่า
5. ที่สำคัญถ้าทำให้มันโหลดกันไม่ได้อย่างเด็ดขาด โดนเขม่นแน่นอนครับ ไอ้ผมมันคนใหม่แต่พวกนั้นเค้าอยู่เก่า เดี๋ยวจะมีปัญหากับพวกมาเฟีย
6. แต่พอปล่อยให้โหลด ก็โหลดกันแบบเต็มที่ แบบว่าไม่รู้ตายอดตายอยากมาจากไหน ทั้งที่โปรแกรม Bitcomet มันสามารถจำกัดความเร็วที่ใช้ในการโหลดไฟล์ได้ แต่โลภ+เห็นแก่ตัว

ทางออกของผม

1. ใช้ PC 1 เครื่อง ลง winxp ใช้การ์ดแลน 2 ใบ ทำเป็น Gateway การ์ดแลนใบนึงต่อกับ router อีกใบต่อเข้า Local
2. ลงโปรแกรม winroute เพื่อใช้แชร์เน็ทให้เครื่องในวงแลน
3. ลงโปรแกรม Softperfect Bandwidth Manager เพื่อจำกัด Bandwidth ที่จะส่งไปแต่ละเครื่องในวงแลน จับกันที่ MAC Address เลย
4. เซ็ทค่าที่จะจำกัด Bandwidth ของแต่ละเครื่อง แถมตั้งเวลาเป็นช่วงเวลาได้ด้วย

แค่ นี้แหละครับ สวยงามที่สุด ไม่โดนเขม่นเพราะไม่ได้ปิดเด็ดขาด แต่ละเครื่องจะมี Bandwidth เท่าที่ให้ ไปจัดสรรกันเอาเองตัวใครตัวมัน อยากโหลดบิทเต็มที่ก็เข้าเว็บช้า อยากเข้าเว็บเร็ว ๆ ก็ไปลดความเร็ว
บิทที่ตัวโปรแกรมกันเอาเอง

ทำมา 4 เดือนแล้ว สบายใจครับ

======================================

QoS ไม่ได้ช่วยเรื่องนี้ร่ะครับ แต่จะยิ่งทำให้ปัญหามันใหญ่ขึ้น เพราะว่าจะเปิดเวบได้ช้าลงอย่างชัดเจนเพราะว่า bit ไปวิ่งแข่งกับเวบ เวบแพ้แน่นอน

อันที่จิงวิธีคุณ GIGA ก็ดีคับ แต่ถ้าทำแบบนั้นผมแนะนำให้ทำที่ Firewall ดีกว่าเพราะว่า Switch router ไม่ได้ออกแบบให้มาทำงานแบบ firewall(filter traffic) ซึ่งอาจทำให้ CPU load โดยใช้เหตุ

ที่สำคัญ bit สามารถทำงานแบบ VPN ได้ด้วย อันนี้คงยังไม่มี tracker ให้เปิดใช้มั้งครับ ขู่ให้กลัวไว้ก่อน

=========================================

ของผมบล็อกง่ายๆ  ที่ site office ใช้ ZyXEL รุ่น P660HW-T1  ธรรมดามากๆๆ  แค่เล่น adsl

ส่วนของ firewall

Packet Direction  WAN to LAN
Source IP   = any
Destination IP = ช่วง ip ที่จะบล็อก หรือจะ any ก็ได้
Service  = 2000 - 65535  ปรับแต่งเอาเองเลยช่วง port นี้
Action = block


Packet Direction  LAN to WAN
Source IP   = ช่วง ip ที่จะบล็อก หรือจะ any ก็ได้
Destination IP = any
Service  = 2000 - 65535  ปรับแต่งเอาเองเลยช่วง port นี้
Action = block

=====================================

แนะนำว่า Shapper ที่ L7 หรือ IPS ไปเลยครับ
แต่ก็เห็นด้วยที่ shaper มันทั้ง ip เลย เวลาเล่นเน็ตจะได้รู้ว่าตัวเองทำให้เน็ตอืดยังไงครับ 

สาเหตุที่บางทีอาจจะ block ไปเลยไม่ต้องทำ shapper
เพราะส่วนใหญ่โปรแกรมประเภทนี้ (p2p) มันจะเปลือง session มากๆครับ
ถ้าไม่ซื้ออุปกรณ์เผื่อไว้จริงๆ(Linux) เจอเข้าไปเยอะๆก็ร่วง ไม่ก็อาจจะเกิดอาการเอ๋อได้ครับ
 ==================================
ดูว่าใช้ session ไปเท่าไหร่

cat /proc/net/netfilter/nf_conntrack_count

ดูว่าตั้ง max ไว้เท่าไหร่

cat /proc/net/netfilter/nf_conntrack_max

เพิ่มเป็น 262144

echo 261144 > /proc/net/netfilter/nf_conntrack_max

แต่บาง distro อยู่คนละที่นะถ้า kernel เก่า ๆ ... อันนี้ของ 2.6.18 ขึ้นไปจะอยู่ตรงนี้

=========================================
PFSense ครับ

จำกัด แบนวิชครับ ดีสุด
คนโหลด ก็โหลดไป ได้ความเร็วเท่าที่เราให้
คนเล่นเน็ตก็เล่นไป ก็ยังได้ความเร็วพอที่จะเล่นเน็ตครับ

ตั้งค่าก็ง่ายแสนง่ายครับ หุหุ

=================================