---

Jeg kører et mindre netværk med 9 pc'er. Ikke alle er lige let tilgængelige
for et nærmere eftersyn. Men jeg noterer mig at en gruppe på 3 maskine
sluger rigtig meget båndbredde. Det kunne være til Kazaa, for jeg har en
anelse om at en af disse kører i døgndrift.

Er der nogen måde at kredse substansen af trafikken ind, så jeg f.eks. får
specificeret at det er Kazaa der kører? Det forudsætter vel en firewall at
spærre dette?

MVH

Per Münster

---

> Er der nogen måde at kredse substansen af trafikken ind, så jeg f.eks. får
> specificeret at det er Kazaa der kører? Det forudsætter vel en firewall at
> spærre dette?

Nja. Du kan ikke spærre for p2p via en portbaseret firewall. Enten en
statebaseret eller også må du ty til en af disse 2 metoder:

1. face-to-face metoden. Du påpeger overfor brugerne af netværket at
p2p kun tillades i tidsrummet 20.00->08.00. Dvs. der prioriteres
mail og surf når folk er hjemme fra arbejde.

2. Du sætter en dns server op. Tvinger folk til at bruge den ved
at sætte den ind i din dhcp servers opsætning og ikke tillade
adgang til nettet med mindre de har en dhcp lease fra dig.

Denne dns server skal så returnerer 127.0.0.1 på forespørgsler
til udvalgte p2p sites. Derved vil de p2p maskiner der findes på dit
netværk ikke kunne komme i kontakt med andre p2p maskiner =>
vupti problemet er forsvundet.

Thomas

---

"Thomas S. Iversen" <zensonic@zensonic.dk> hit the keyboard.
Afterwards the following was on the screen:

>> Er der nogen måde at kredse substansen af trafikken ind, så jeg f.eks. får
>> specificeret at det er Kazaa der kører? Det forudsætter vel en firewall at
>> spærre dette?
>
> Nja. Du kan ikke spærre for p2p via en portbaseret firewall. Enten en

Det er i praksis umuligt. Kazaa falder typisk tilbage på port 80, hvis
1214 er blokeret - og det er nok en dårlig ide at blokere port 80.

> statebaseret eller også må du ty til en af disse 2 metoder:
>
> 1. face-to-face metoden. Du påpeger overfor brugerne af netværket at
> p2p kun tillades i tidsrummet 20.00->08.00. Dvs. der prioriteres
> mail og surf når folk er hjemme fra arbejde.

Det virker nok bedst af de her skitserede løsninger.

> 2. Du sætter en dns server op. Tvinger folk til at bruge den ved
> at sætte den ind i din dhcp servers opsætning og ikke tillade
> adgang til nettet med mindre de har en dhcp lease fra dig.
>
> Denne dns server skal så returnerer 127.0.0.1 på forespørgsler
> til udvalgte p2p sites. Derved vil de p2p maskiner der findes på dit
> netværk ikke kunne komme i kontakt med andre p2p maskiner =>
> vupti problemet er forsvundet.

Ideen er god nok. Det bliver dog et stort arbejde at vedligeholde en
sådan DNS-server. Mans kal både følge med i, hvad der dukker op af nye
domænenavne og håbe på, at de alle er DNS-baserede. Du får eksempelvis
voldsomt svært ved at blokere emule og Direct connect med denne
metode.

Jeg selv benytter en Linux-gateway på et middelstort bolignetværk. Her
benytter jeg stateeful inspektion af trafikken (ipp2p og iptables-p2p)
til at skille P2P-trafik fra øvrigt trafik. Her kan jeg så vælge at
blokere det eller nedprioritere det med iptables. Det kræver dog en
dedikeret Linux-gateway (Cisco, *BSD oma. kan selvfølgelig også klare
det), som ikke er helt ligetil at sætte op...

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Life is that property, which a being will lose as a result of falling
out of a cold and mysterious cave 30 miles above ground level.
- HitchHikers Guide to the Galaxy, Douglas Adams
----------------------------------------------[ moffe at zz9 dot dk ] --

---

> Jeg selv benytter en Linux-gateway på et middelstort bolignetværk. Her
> benytter jeg stateeful inspektion af trafikken (ipp2p og iptables-p2p)
> til at skille P2P-trafik fra øvrigt trafik. Her kan jeg så vælge at
> blokere det eller nedprioritere det med iptables. Det kræver dog en
> dedikeret Linux-gateway (Cisco, *BSD oma. kan selvfølgelig også klare
> det), som ikke er helt ligetil at sætte op...

Eller en Linksys WRT-54g router med Sveasoft firmware. Firmwaren bruger
linux og kan derfor nemt sættes op til formålet. Faktisk så har dens webgui
en sektion hvor man kan blokere for et bredt udvalg af services, bl.a. Kazaa
og bit torrent. Det virker fremragende, packets når aldrig frem

--

- RpR
~=[ www.MopedGallery.dk ]=~
~=[ www.PhotoBlog.dk ]=~
--

---

> Det virker nok bedst af de her skitserede løsninger.

Ja face-to-face virke umådeligt godt. Også taget tiden i betragtning.

> Ideen er god nok. Det bliver dog et stort arbejde at vedligeholde en
> sådan DNS-server. Mans kal både følge med i, hvad der dukker op af nye
> domænenavne og håbe på, at de alle er DNS-baserede. Du får eksempelvis
> voldsomt svært ved at blokere emule og Direct connect med denne
> metode.

Min erfaring er at det ikke er så slemt endda. Måske jeg bare er heldig. Det
skal jeg ikke kunne sige. Jeg følger ikke meget med i hvad der findes at p2p
programmer --- de har ikke den ringeste interesse for mig personligt.

Thomas