華網國際股份有限公司

[tan87888]

你好:
有一個宿網,大概是28人, 因為只有一個用戶在P2P,其他人都是網路良民,所以只有封鎖P2P的最大下載/上傳的 設定,但是發現這個用戶竟然能夠下載到7Mbps多, 上傳也有將近1.2M左右..不過我實際到現場使用10多種P2P軟體取測試(Utorrent,Bitcomet,迅雷,Emule,Foxy,edonkey, shareaze ,winmx ,hotline, kazaa lite k++, beedo p5p, BitSpirit..等) 都可以被封阻, 但是這用戶就是肆無忌憚下載,可否協助? 謝謝!
從來也沒遇到這摸狡猾的用戶.....就把第一次獻給你了!

[fae]

你好:
可能使用者使用了類似Vilidalia Bundle 的Socks5 代理伺服器突破了HiPER 的P2P 限制.因為你提供的資料也不完全,我只能用猜測的方式!

這種Proxy 的用法,已經也有一段時間了, 該Proxy 可以自訂來自網上上非常多的代理伺服器,來衝破P2P 的L7 管制..在HiPER 設備上,於上網行為管理的資料庫內,就有一個Socks5 的資料庫,如下圖所示:

proxy.jpg (134.54 KiB) 被瀏覽 26910 次

然後把http proxy /Socks4 /Socks5 都打勾起來,直接禁用即可! 請你先測試看看!

[tan87888]

感謝fae老大阿!
果然跟你的猜測沒錯,這個用戶果然是透過Proxy 去下載資料的! 把行為管理的Proxy 全部打勾後, P2P流量就下去了.
我看以後的宿網,全都要把這些選項給啟用! 要不然還是有被有心人士突破封鎖! Thanks.,

[tempox]

不知2010版ReOS的P2P管制效果有否較好些？

網路: 光世代10M/2M
機器: Hiper 811 +2009版ReOS
設定:
(1) 下載設限8M，上傳設限1M
(2) 總session:1200，TCP、UDP:1000，ICMP:100
(3) 上網行為管裡 --> P2P過濾項目、其他過濾(3種代理)，均全勾選。
(4) P2P限速 --> 下載上傳均設128k

今天測試了下列P2P，發現無法完全封鎖~_~

Thunder5.9.24.1506 --- 封鎖成功，管制效果最佳(幾乎沒啥在動，上傳不超過0.1)。

BitComet1.24 --- 封鎖尚可，總下載速度大致3x kB/s左右，偶爾4x~6x kB/s。上傳大致維持1~2kB/s上下。

BitTorrent7.1 --- 封鎖尚可，總下載速度大致在10kB/s以內，偶爾3x kB/s。但開越久，種子接上後可突破下載限速至5xx(但上傳依然在1~2左右)

Foxy 1.9.8 --- 開啟P2P限速後，能壓低下載速度(總速度約12kB/s左右)。


eMule 0.48a --- 封鎖失敗，P2P限速無效。伺服器(低ID)、kad(防火牆內)都連得上(均沒有另外開port放通行)。

qvod快播 --- 封鎖失敗，P2P限速無效。

[fae]

你好:
關於P2P的管制問題如下:

1. P2P 軟體根據HiPER內建特徵碼來進行,建議時常做相關項目特徵碼的線上更新的動作.
2. 有些P2P是使用"加密"的連線, 這些加密的連線是無法根據特徵碼的特性來有效阻擋,此時只需搭配session連線數控管,可以得到相對好的效果以及管制(降低該PC的連線數..比如總數500, TCP:300/UDP:300).
3. P2P管制的頻寬,目前您設定128k/128k , 您可以試試看降低到64k/64k ,也會有效果, 我們這裡測試若是設定1k/1k 的話,基本上是可以完全阻擋下來的(加密連線除外)

以上的經驗,提供您參考!

PS:還有一點請注意,就是當P2P開啟管制時,HiPER的Web 畫面顯示的及時流量,是不正確的顯示,會加上LAN的流量統計(這是顯示畫面的Bug)

可以telnet 到HiPER上去觀測下:看rx rate 與tx rate 的速度,就是真正的目前速率

rate.JPG (58.7 KiB) 被瀏覽 26381 次

2010版本也更新許多的功能,管制效果也精確很多,有興趣的話可以下載測試(也可以隨時恢復回2009舊版),下載位置請參閱公告區.

[tempox]

您好:
請問能否藉由防火牆封鎖連接常見的eMule伺服器以達管制效果？
例如:eDonkeyServer No2 > 212.63.206.35:4242
若可，要怎麼設定？謝謝。

[fae]

防火牆構成要件: 地址組(哪些IP管制) ,服務組(哪些服務管制-Port 號), 以及防火牆策略.

新增地址組:
內網IP:
防火牆->地址組 ,把內部網路如192.168.16.2~192.168.16.254 納入管制範圍.

fw-1.JPG (23.55 KiB) 被瀏覽 26330 次

外網IP:
防火牆->地址組 ,把外部網路如 212.63.206.35 納入管制範圍

fw-2.JPG (30.43 KiB) 被瀏覽 26330 次

新增策略:
防火牆-訪問控制策略->把內部網路LAN 的地址組要去外部的外網IP阻擋.

fw-3.JPG (75.46 KiB) 被瀏覽 26330 次

最後請啟用->訪問控制策略打勾即可!

不過這種Emule類型的Server 成千上萬,只要你漏了一個Ip位置, 用戶依然可以搜尋並登入其他Emule主機.

[fae]

您好:
請問能否藉由防火牆封鎖連接常見的eMule伺服器以達管制效果？
例如:eDonkeyServer No2 > 212.63.206.35:4242
若可，要怎麼設定？謝謝。

可以導入Edonkey策略庫測試看看!

eDonkey_20090603.txt

(401 Bytes) 被下載 2055 次