Добрый день.

Необходимо прикрыть скачивание торрентов из локальной сети, а точнее, чтобы сетевой экран принудительно доводил до 0 килобайт активное соединение в клиенте.
Понятно, что скачивание самого файлика .torrent можно запретить проксей или через ALG сетевого экрана, закрытие отдельно взятых портов проблему не решит, также не решит проблему выключение поддержки UPnP в сетевом экране.

Есть мысль завязать это ограничение с помощью QoS, но как это организовать по уму? Или можно как-то иначе подобное организовать?

Вопрос интересный. Но очень сомневаюсь, что средствами одного девайса её можно решить. Есть ещё ФТП который надо бы оставить.

Например запретить наружу все порты кроме нужных типа DNS HTTP/HTPS FTP и т.п.

Это обрубит торренты почти 100%-но

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Режим так называемого "белого списка" - это мера пожалуй уже крайняя и универсальная, тут скорее хочется увидеть иные способы.

Иной способ - использование IDP, но он требует платной подписки, да и от шифрования не спасет.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

пришлось прибегнуть к "белому списку", предварительно перебив нужные правила.
закачка торрентов стоит мёртво на нуле!

Убить торренты не проблема. Проблема сохранить при этом работоспособность ФТП

не вижу связи

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

поделитесь, как иначе можно убить торренты!

Сам бы хотел знать.

Вам же было написано, убиваете стандартное правило ( обычно "allow_standard" которое разрешает ходить all_tcp через NАТ) создаете новую групу сервисов в который включаете например all_dns, all_http, all_ftp, all_smtp, all_pop, и другие каккие кому нужны например аська и т.д. и т.п. после этого создаете новое правило с новым сервисом, и торент помирает, инфформационный файлик конешно скачается, но скачка/отдача не будет идти.
Да ктото писал что PnP есть в ДФЛ - это гдеж там такая функция ?

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

Для FTP можно использовать правило с сервисом ftp-passthru - необходимые дополнительные порты будут открываться динамически на основании данных сессий
Ньюанс - работа должна быть в юникоде (некоторые сервера не поддерживают, не смотря на RFC)

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

господа, то чего вы хотите можно реализовать только используя DPI и оно есть на железках совершенно другого ценового диапазона нежели DFL-800 ... лично я юзал Cisco SCE - оно умеет то чего вы хотите (и много чего еще), но ценник вам очень не понравится ...

_________________
с уважением, БП

Во-первых шифрованные ФТП сессии не будут работать.
Во-вторых клиент может подключиться к фиктивному ФТП серверу и наоткрывать себе порты.
В-третьих никто не гарантирует, что торренты не будут использовать порты из вайт-листа.

именно потому что торренту ничто не помешает работать на 80-м порту (или вы запретите НТТР?) любая идея с white листом терпит крах (
повторюсь, почти (~5-10% не распознанного трафика) гарантированное решение - это DPI

_________________
с уважением, БП