3種方法封鎖BT下載

方法1:封鎖BT埠
　　大家都知道如果要限制某項服務,就要在路由器上設定ACL(訪問控制列表)將該服務所用的埠封掉,從而阻止該服務的正常執行.對BT軟體,我們可以嘗試封它的埠.一般情況下,BT軟體使用的是6880-6890埠,小金在公司的核心路由器上使用以下命令將6880-6890埠全部封鎖.

　　access-list 101 deny tcp any any range 6880 6890

　　access-list 101 deny tcp any range 6880 6890 any

　　access-list 101 permit ip any any

　　接著進入相應的埠,輸入ip access-group 101 out 使訪問控制列表生效.配置之後,網路帶寬就會馬上釋放出來,網路速度得到提升.

　　但是,沒過幾天網路速度又減慢了,BT軟體的埠明明被封了,什麼軟體還在佔用大量的帶寬呢,小金使用SNIFFER檢測到幾個不常用的埠的資料流程量非常大,原來很多人使用第三方的BT軟體(如比特精靈,BITCOMET)進行下載,這些軟體可以自定義 傳輸資料的埠,修改為沒有被封的埠後又可以進行BT下載了.

　　(注:缺點,由於BT埠變化較大,所以用ACL封埠收效甚微,而且配置條數多執行起來比較費勁,另外大量的ACL也佔用了路由器的CPU資源,影響了其他服務

　　優點:利用訪問控制列表ACL封鎖BT比較好管理,配置起來也很容易,使用相對而言比較靈活.通過ACL可以有效非常有效封鎖官方BT軟體)
方法2:封鎖BT伺服器

　　既然無法有效的從本地埠進行封鎖,那麼只好從遠端目標的位址入手.在進行BT下載時,本機首先要連接遠端的BT伺服器,從伺服器下載種子列表再連接相應的種子,所以小金從各大BT論壇下載BT種子,以便獲得BT伺服器的地址.啟動BITCOMET後選擇 伺服器列表,在TRACKER伺服器處可以看到BT伺服器的位址,如(bt.ydy.com)接著通過NUSLOOKUP或者PING命令可以得到伺服器位址為202.103.X.X

　　獲得伺服器位址後就可以到核心伺服器上對該位址進行封鎖.具體命令為:access-list 102 deny tcp any 202.103.9.83 0.0.0.0

　　最後小金在網路出口埠上執行ip access-group 102 out 命令後,使該訪問控制列表生效,這樣網內用戶就不能訪問這個BT伺服器了,同時該伺服器提供的所有BT種子都無法使用,接下來,收信更多的的BT伺服器的IP地址,將它們一一添加到控制列表102裏,看著員工啟動第三方的BT軟體後連接種子數為0,下載速 度也為0的時候,終於松了一口氣.

　　沒過多久,公司再次出現網路執行緩慢的問題,小金通過監控系統發現又有人通過BITCOMET下載電影,雖然速度不如從前,但仍佔用了相當大的帶寬,是什麼原因使用戶又可以連接BT伺服器呢,原來,在訪問列表中使用的IP位址進行過濾,而一旦BT伺服器的 IP位址發生了變化,針對IP位址的封鎖就沒有用了

　　(缺點:BT伺服器很多,要找到每個伺服器的IP位址然後進行封鎖非常麻煩,而且也容易漏掉某些伺服器,訪問控制列表只能封鎖IP位址不能封鎖功能變數名稱,對於IP位址經常變化的BT伺服器來說,封鎖是比較煩的.

　　優點:該方法能有效的封鎖大批的BT伺服器,網管通過簡單的管理伺服器IP位址就能封鎖禁止BT軟體的使用,對於自定義埠的BT軟體起到了非常有效的封鎖作用)

方法3:載入PDLM模組

　　使用CISCO公司出品的PDLM模組可以省去我們配置路由策略的工作,封鎖效果非常好.上文介紹的兩種方法.一個是對資料包使用的埠進行封鎖,一個是對資料包的目的地址進行封鎖,雖然在一定範圍內有效,但不能起到全面禁止BT的作用,通過PDLM+N BAR的方法來封鎖BT就存在這個問題了.

　　CISCO在其官方網站提供了三個PDLM模組,分別為KAZAA2.pdlm,bittorrent.pdlm.emonkey.pdlm可以用來封鎖KAZAA,BT,電驢,在此我們就封鎖BT下載為例,

　　建立一個TFTP站點,將bittorrent.pdlm複製到該站點,在核心路由器中使用ip nbar pdlm tftp://TFTP站點的IP/bittorrent.pdlm命令載入bittorrent.pdlm模組

　　接下來設定路器策略,具體命令如下:

　　class-map match-any bit

　　//創建一個CLASS_MAP名為BIT

　　match protocol bittorrent

　　//要求符合模組bittorrent的標準!

　　policy-map limit-bit

　　//創建一個POLICY-MAP名為LIMIT-BIT

　　class bit

　　//要求符合剛才定義的名為BIT的CLASS-MAP

　　drop

　　//如果符合則丟資料包!

　　interface gigabitEthernet0/2

　　//進入網路出口那個介面

　　service-policy input limit-bit

　　//當有資料包進入時啟用LIMIT-BIT路由策略

　　service-policy output limit-bit

　　//當有資料包出的時候啟用LIMIT-BIT路由策略

　　如果不想每次啟動路由器的都要手工載入TFTP上的bittorrent.pdlm,可以把這個PDLM檔上傳到路由器的FLASH中,然後選擇TFTP伺服器的IP位址即可.提示:封鎖KAZAA或者是EDONKEY時,在路由器配置中將"match protocol後的bittorrent替換為KAZAA2或者EDONKEY即可,其他配置和封鎖BT一樣,

　　通過NBAR載入PDLM模組法封鎖BT軟體後,小金已經完全斷絕了公司內部的BT使用,所有員工都能安心工作,網路速度也恢復到以前的穩定值了,

　　(缺點:該方法配置起來相對麻煩,指令非常多,而且路由器每次啟動都要重新指定PDLM檔,如果將PDLM檔上傳到路由器的FLASH中又會佔用不少空間,通過路由策略進行封鎖BT軟體的同時也會佔用路由器大量的CPU與記憶體的資源,影響了資料包的傳 輸速度

　　優點:通過該方法可以徹底封鎖BT下載)