Wiem że bardzo popularne są firewalle adiego i czerwa ale może dlatego ze ludzie mają problemy z regułkami.
Proponuje temat z przydatnymi regułkami iptables czyli : blokada p2p w danych godzina dla sieci dla usera,blokada macków ,squid ,limit połączeń itd.(taki mały opisik)
może zaczniemy od blokady p2p dla całej sieci w godzinach od 17 do 22
iptables -t mangle -A PREROUTING -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP
blokada p2p dla konkretnego ip w godzinach 17 do 22
iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP
blokada całkowita p2p dla konkretnego ip
iptables -I FORWARD -s 192.168.0.11 -m ipp2p --ipp2p -j DROP
proxy dla całej sieci na porcie 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
przekierowanie portu 4657 dla ip 192.168.0.11 (np dla p2p)
iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 4657 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4657 -j DNAT --to 192.168.0.11
blokada adresu mac
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP
iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP
ograniczenie ilości połączeń do 70
echo "7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 70 --connlimit-mask 32 -j DROP
lub
iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP
blokada okreslonych portow (przykładowo od 600 do 800) dla okreslonego ip 192.168.0.11
iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 600:800 -j DROP
iptables -I FORWARD -s 192.168.0.11 -p udp --dport 600:800 -j DROP
blokada adresu ip dla przykładu 192.168.0.11
iptables -A INPUT -s 192.168.0.11 -j DROP
iptables -A FORWARD -s 192.168.0.11 -j DROP
iptables -A INPUT -d 192.168.0.11 -j DROP
iptables -A FORWARD -d 192.168.0.11 -j DROP
blokada "podudostępniania" internetu (TTL)
dla konkretnego ip 192.168.0.11
i drugie dla całej sieci
iptables -t mangle -A POSTROUTING -d 192.168.0.11 -j TTL --ttl-set 1
iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1