2024年8月22日发(作者:)
维普资讯
五种方式堵截疯狂P 2 P
■文/白海
方法1采用NAT连接数限制
在Cisco lOS 12 3(4)T后的lOS软件、
H3C路由器上都支持NAT的单用户限制,
即可以对做地址转换的单个IP限制其
NAT的表项数,因为P2P类软件如BT的
一
大特点就是同时会有很多的连接数,从
而占用了大量的NAT表项,因此应用该方
法可有效限制BT的使用,同时H3C路由
器还支持对不同业务流的NAT限制。比如
我们为IP 192.168.1.1设置最大的NAT表
项数为60;正常的网络访问肯定够用了.
但如果使用BT或者迅雷,那么很快此IP
的NAT表项数达到60,一旦达到峰值,该
IP的其他访问就无法再进行NAT转换,必
须等待到NAT表项失效后,才能再次使
用,这样有效的保护了网络的带宽,同时
也达到了警示的作用。
例如:
1.以Cisco设备为例。
限制IP地址为192.168.1.1的主机NAT
的条目为60条,配置如下:
ip nat translation max--entries host 1 92 1 68 1 1 60
如果想限制所有主机,使每台主机的
NAT条目为60,可进行如下配置:
ip nat translation max--envies all-host 60
2.以H3C设备为例。
内网内每台路由器仅限l0个对外连接
(不区分业务)。
拉
c。nnectlon一_ImIt enable//开启NAT连接统计与限制特性功能
connection-limit default action permit //不在NAT连接
限制策略内的所有NAT连接按缺省配置处理
connection—limit default amount 50 20 //最大可处理50
个表项。超出后.只有连接数降到20以下,才允许继续建立连接。
#一访问控制列表进行数据流的分类。
一
46中国教育网络20o8 8
acl number 2000 //新建acI对数据流进行分类
rule 0 permit source 1 92 168 1 0 0 0 0 255//定义进行
NAT转换的数据流.所有源地址为1 92 168 1 x/24的数据流进
行NAT转换。定义进行NAT连接策略限制的数据流 内网1 92
168 1 0的所有主机。
connection—limit policy 0 //NAT连接限制的策略定义
Ilmlt 0 acl 2000 per--source amount 10 9 //子规则1:内
网1 92 168 1 0的所有主机每台仅限1O个连接,当连接数超过10
个,禁止该主机继续建立连接该主机的NAT连接数降到9或以
下时才允许连接继续建立
interface NULL0
nat connection-limit-policy 0
//指定NAT连接限制使用的策略
拉
按业务类型对NAT连接进行限制
拉
connection--Iimit enable
//开启NAT连接统计与限制特性功能
connection--limit default action permit //不在NAT连接
限制策略内的所有NAT连接按缺省配置处理
connection--limit default amount 50 20 //最大可处理5O
个表项。超出后.只有连接数降到2O以下.才允许继续建立连接。
拉
acl number 2000 //新建acI对数据流进行分类
rule 0 permit sGcrlc ̄1921681 0 0 O 0 255//定义进行№T转换
的数据流,所有源地址为192 168 1 x/24的数据流进行NAT转换
拉
acl number 3000 //新建acI对数据流进行分类
rule 0 permit icmp //定义进行NAT连接策略限制的数据
流,内网10 10 10 0的所有主机发送的ICMP报文
#一定义进 ̄?NAT连接策略限制的数据流.内网10 10 10 0
的所有主机发送的FTP连接报文
acl number 3001 //新建acI对数据流进行分类
rule 0 permit tcp source 10 10 10 0 0 0 0 255 destination-
port
//定义进 ̄
eq
f
t
p
…
.
、
。
?NAT连接策略限制的数据流
……… …….. 一
.
内网10 10 10 0的所
有主机发送的FTP连接报文
拉
connection—limit policy 0 //NAT连接限制的策略定义
limit I acl 3000 per-service amount 5 0 //子规则1内
网10 10 10 0的所有主机ping操作通过NAT网关的连接数为5.
如果同时超过5,抑制新连接建立.直到这5个连接表项超时删
除。这样配置可以避免中冲击波主机对外发送大量扫描报文。
limit 2 acl 3001 per--source per--service amount 20 1 9
//子规则2:内网每台主机可以对外发起的ftp连接数为2O。
limit 3 acl 2000 per-source amount 20 1 9 //子规则3:
如上的规则没有匹配的.在这里进行匹配。也就是说除了ICMP
报文.FTP连接报文外.每台主机还可以建立的连接数2O。
interface NULL0
nat connection--limit—policy 0//指定NAT连接限制使用的策略
方法2采用ACL
我们可以采用以下方式来配置ACL,
一
种是开放所有端口,只限制迅雷和BT的
端口,配置如下;
access—list 1O1 deny udp any any range 3073 3077
access-list 101 deny udp any any 1 5000
access—list 1O1 deny tcD any any range 6881 6890
access-list 1O1 deny tcp any range 6881 6890 any
access--list 1O1 permit ip any any
说明:这种方法有其局限性,因为现在有的
P2P软件,端口可以改变,封锁后会自动改端口,
不同的采用P2P技术的软件使用的端口也不一
致,甚至可以该到80端口,如果连这个也封,那
网络使用就无法正常工作了。
另外一种方式是只开放有用的端口,
封闭其他所有端口;
access—list 1O1 permit tcp any any eq 80
access--list 1O1 permit tcp any any eq 21
access--list 1 01 permit tcp any any eq 25
access--list 101 permit tcp any any eq 110
access--list 101 permit tcp any any eq 53
access--list 101 deny ip any any
说呱此方法是对网络进行严格的控制.对
简单的小型网络和对用户需求不高的网络还可
行,而如果是校园网,数据流量很复杂那么管理
的难度将非常大,用户很多网络需求不能很好的
满足。这种方法不建议在校园网使用,只做介绍
和了解
还有一种方式是对端口是10000以上
的流量进行限速特别是UDP协议;因为多
数蠕虫病毒和P2P的端口都是大于100000
的,当然也有正常的应用是采用1
’…………”………~’…
0000以上
…一
的端口。在校园网那个这个中环境里,如果
我们将10000以上的端口封闭,这样一些正
常的应用也无法开展,不过最好也避开一
些特殊的端口,比如,炒股、财务等等软件。
所以折中的方法是对端口l0000以上的数
据流进行限速,例如:
class-map match-all xs \\定义Class-map
match access—group 1 O1 I
policy-map xs 、、policy-map
class xs
police cir 1000000 bc 1000 be 1000 conform-action transmit
exceed-action drop violate-action drop
access—list 1 01 permit tcp any any gt 1 0000\\定义ACL
access—list 101 permit udp any any gt 10000
interface f0/0 \\应用到接口上一
service--policy input xs
拉
维普资讯
发布评论