解決策 1:
ポートベースの P2P ブロッキングは、100% のソリューションとは言えません。考慮したいのは、L7 フィルタリング (レイヤー 7 フィルタリング) と呼ばれるものです。基本的に、Linux には、正規表現ベースのマッチングをすべてのパケットに対して実行して、良いものと悪いものを判断する実装があります。
http://l7-filter.sourceforge.net/
これにより、Skype を含むあらゆる種類のものをブロックできます。
http://l7-filter.sourceforge.net/protocols
注意:パケットを検査およびフィルタリングするための Regex マッチングはリソースを大量に消費するため、どのシステムも DDOS 攻撃に対してより脆弱になります。推奨される方法は、iptables 内のプロトコルをターゲットにすることです。
解決策 2:
唯一の適切な技術的解決策は、SSL トラフィックをオンザフライで復号化し、レイヤー 7 フィルタリングを適用するプロキシを通過するすべてのトラフィックを設定することです。
このような製品は、通常、パケットの分類に必要なルールを更新する大規模なエンジニア チームが背後にいるため、かなり高価です。
iptables を使えばいくらか助けられます 前述の ipp2p のモジュール sush または l7-filter 、しかし、暗号化されたトラフィックをキャッチしません。
いずれにせよ、テクノロジーが社会問題の解決策になることはめったになく、企業/公共/その他のネットワークを p2p に悪用することは社会問題です。ユーザーと話し合って、組織に適切なポリシーを作成してもらい、制裁を適用してください。私の経験では、これは、ユーザーとの絶え間ないテクノロジーの軍拡競争よりもはるかに効果的です。
解決策 3:
6881-688927106969 などの一般的なトラッカー ポートをブロックすることをお勧めします
しかし、これは 80 ポート (つまり tpb.tracker.thepiratebay.org) にバインドされたトラッカーに対しては役に立ちません。したがって、80,443,22 以外のすべてをブロックしても役に立ちません。
ipp2p は私が知っている最良のソリューションです。ドキュメント/使用法セクションを参照してください
l7フィルターについて。 bittorrent.pat のコメントには次のように書かれています:
<ブロック引用>このパターンはテスト済みで、うまく機能すると考えられています。ただし、暗号化されたデータを (うまく) 照合することは不可能であるため、暗号化されたビットトレント ストリームでは機能しません。
BSD システムでは、pf は 1 秒あたりの状態または接続の数に応じてアクションを適用できるため、bittotent のようなトラフィックにタグを付けることができます。これは、接続が急速に生成されるためです。 iptables のマニュアルを読んでください。それもできるかもしれません。