禁止bt下载最有效的办法是什么？

在局域网内封堵BT下载应用的方法一般如下：

1、利用企业的宽带路由器设备，通过设置限定用户上传、下载的速率限制。IXPUB网友就曾介绍道：“我们网吧的用的艾泰路由器，里面有个上传下载的速率限制，我限制了上传256k，下载1M，虽然限制了BT无限制占用带宽的行为，但是局域网仍旧有BT跑到了1兆的速度，这个速度对网速的影响也是很明显的。

2、屏蔽网络端口。网管人员若熟知BT软件使用的端口，可以利用防火墙等设备将其下载通讯的端口屏蔽掉，相信内部人员的BT下载，也就会随之关闭掉了，从而即可解决BT滥用的严重问题。

3、用ISA封杀BT下载。因为ISA是根据下载的特性进行封杀，它可以采用最为专业的封杀软件，能够从多个角度对BT的下载进行封杀，从而使其下载功能彻底失去了自身的作用。 针对目前最为专业的ISA封杀软件Microsoft Internet Secu-rity and Acceleration Server，以下简称ISA。你如果要想限制下载的种子文件，可以添加一条HTTP规则，并且将其种子扩展名加入到“阻止制定的扩展名”即可。当然此方法用户只需要浏览网页发布的BT下载资源，就可轻松破解。那么这里你就需要再增加一条，禁止用户打开BT下载的网站规则，这样才能将其想要依靠网页发布BT下载的用户封杀掉。 但是倘若企业用户不依靠种子和网页发布的BT下载资源，来进行BT下载文件，想必上面两种限制也就失去了它本质的作用，因此这就需要你根据数据包的特性进行协议过滤，方能彻底限制住关于BT的下载 *** 作。这里需设置访问策略，并且对其HTTP协议进行签名过滤，比如还拿刚才BT下载为例，查 找数据包的请求，在指定阻止的签名中填入BT使用的数据包请求，这样当数据包中含有你想要阻止的数据请求，就会自动被ISA所丢弃，导致其企业员工的BT下载也就无法进行。

4、使用专业安全设备进行管理。以大势至(北京)软件工程有限公司推出的聚生网管（官方网址： http://www.grabsun.com ）可以很好的满足用户的需求，聚生网管系统可以根据应用层特征对流量进行识别，并帮助用户控制网络中的非法流量如BT等BT下载。此外，此产品还可以对网络游戏、IM即时通信、炒股等软件进行限制；而且如果客户需要，还可提供用户上网行为审计功能，全面记录用户上网行为，为事后取证提供完备的依据。

1.修改SSH配置文件：/etc/ssh/sshd_config #找到Port 22，这里是标识默认使用22端口，修改为：

Port 22

Port 1234

/etc/init.d/sshd restart

#这样SSH端口将同时工作在22、1234上

查看防火墙规则

1、iptables -nvL

2、more /etc/sysconfig/iptables

2.添加防火墙规则

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 1234 -j ACCEPT

/etc/rc.d/init.d/iptables save

/etc/rc.d/init.d/iptables restart

然后使用SSH工具 测试 你所设置的端口是否能正常使用

如果能正常使用返回到第一步，删除原来的22端口，以及修改防火墙配置文件

之所以先设置成两个端口，测试成功后再关闭一个端口，是为了方式在修改的过程中，万一出现掉线、断网、误 *** 作等未知情况时候，还能通过另外一个端口连接上去调试以免发生连接不上的状况。

开启自动启动：chkconfig iptables on

开启不自动启动：chkconfig iptables off

附录：

设定预设规则，INPUT链默认拒绝，OUTPUT链默认接受，FORWARD链默认拒绝

iptables -F #清除预设表filter中的所有规则链的规则

iptables -X #清除预设表filter中使用者自定链中的规则

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -L -n --line #按行数显示防火墙规则

iptables -D INPUT 1 #删除INPUT表第一条

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #来源、目的为127.0.0.1都接受,这条放最后就可以了

1、安装iptables防火墙

如果没有安装iptables需要先安装，CentOS执行：

yum install iptables

Debian/Ubuntu执行：

apt-get install iptables

2、清除已有iptables规则

iptables -F

iptables -X

iptables -Z

3、开放指定的端口

#允许本地回环接口(即运行本机访问本机)

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

# 允许已建立的或相关连的通行

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#允许所有本机向外的访问

iptables -A OUTPUT -j ACCEPT

# 允许访问22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#允许访问80端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#允许FTP服务的21和20端口

iptables -A INPUT -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#如果有其他端口的话，规则也类似，稍微修改上述语句就行

#禁止其他未允许的规则访问

iptables -A INPUT -j REJECT （注意：如果22端口未加入允许规则，SSH链接会直接断开。）

iptables -A FORWARD -j REJECT

4、屏蔽IP

#如果只是想屏蔽IP的话“3、开放指定的端口”可以直接跳过。

#屏蔽单个IP的命令是

iptables -I INPUT -s 123.45.6.7 -j DROP

#封整个段即从123.0.0.1到123.255.255.254的命令

iptables -I INPUT -s 123.0.0.0/8 -j DROP

#封IP段即从123.45.0.1到123.45.255.254的命令

iptables -I INPUT -s 124.45.0.0/16 -j DROP

#封IP段即从123.45.6.1到123.45.6.254的命令是

iptables -I INPUT -s 123.45.6.0/24 -j DROP

5、查看已添加的iptables规则

iptables -L -n

v：显示详细信息，包括每条规则的匹配包数量和匹配字节数

x：在 v 的基础上，禁止自动单位换算（K、M） vps侦探

n：只显示IP地址和端口号，不将ip解析为域名

6、删除已添加的iptables规则

将所有iptables以序号标记显示，执行：

iptables -L -n --line-numbers

比如要删除INPUT里序号为8的规则，执行：

iptables -D INPUT 8

7、iptables的开机启动及规则保存

CentOS上可能会存在安装好iptables后，iptables并不开机自启动，可以执行一下：

chkconfig --level 345 iptables on

开启自动启动：chkconfig iptables on

开启不自动启动：chkconfig iptables off

将其加入开机启动。

CentOS上可以执行：

service iptables save

/etc/rc.d/init.d/iptables save

/etc/rc.d/init.d/iptables restart

保存规则。

另外更需要注意的是Debian/Ubuntu上iptables是不会保存规则的。

需要按如下步骤进行，让网卡关闭是保存iptables规则，启动时加载iptables规则：

创建/etc/network/if-post-down.d/iptables 文件，添加如下内容：

#!/bin/bash

iptables-save >/etc/iptables.rules

执行：chmod +x /etc/network/if-post-down.d/iptables 添加执行权限。

创建/etc/network/if-pre-up.d/iptables 文件，添加如下内容：

#!/bin/bash

iptables-restore </etc/iptables.rules

执行：chmod +x /etc/network/if-pre-up.d/iptables 添加执行权限。

关于更多的iptables的使用方法可以执行：iptables --help或网上搜索一下iptables参数的说明。

注：每次服务在停止之前会自动将现有的规则保存

在 /etc/sysconfig/iptables 这个文件中去.

端口是linux下应用软件因需要而开启的socket套接字，具有唯一性。端口可以查看、启动关闭、设置防火墙规则等。

1、端口查看

netstat -tln   //表示已数字形式查看，正在监听的端口

netstat -ap   //查看所有应用占用端口情况

2、启动停止

端口自己是不会停止和启动的，需要停止和启动的是端口对应的应用。

可以先找到端口，再对应PID，命令如下：

netstat -anp|grep 57069 //这个是要找的端口号

lsof -i:57069 //查找器PID信息

第三部杀死进程：图例里面没有在这里写上，kill -9 PID

3、屏蔽

linux下一般使用防火墙的filter规则 定义允许或者不允许进行屏蔽。对于filter一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT。

例如设置在输入端屏蔽53端口：

iptables -A INPUT 1 -d 172.16.100.1 -p udp --dport 53 -j REJECT

-A 是增加规则，-d：表示匹配目标地址， -p udp表示UPD协议，--dPort 是端口53

这里表示在输入端目的地址是172.16.100.1的53端口被屏蔽

---