[ilia_2s]

Неужели нашли как вычленять Skype из потока?

 

Они всему потоку скорость режут, вопрос насколько резать, чтобы не упал скайп.

 

А вообще врубайте все через прокси и счастье!

[Yaten]

хочу порезать udp до 512к

И под него скайп попадёт скорей всего.

 

не надо мне прокси - было такое счастье

[Saab95]

Так вы на микротике посмотрите по каким портам и что идет. Когда я резал по 200-250 пакетов на мегабит никто не жаловался.

[saaremaa]

dst-limit=250,250

соответсвует 1 мбит/с?

[Saab95]

Нет, это для тарифов с ограничением 1мбит было 250 пакетов, для тех у кого 2 уже 500. Хотя на деле обычно с мегабита пакетов 140-180 потребляли, ограничение только у некоторых срабатывало.

[Ferdin]

Правила работают не правильно, нужно 4-5 мбит/c для 500 пакетов.

[saaremaa]

Правила работают не правильно, нужно 4-5 мбит/c для 500 пакетов.

Сдается мне что все сугубо индивидуально и зависит от профиля трафика.

[baxim69]

Saab95, добавлял те правила, так проблема состоит в том, что оно режет все порты, 80 TCP так же, можно ли добавить порты, на которые те правила не будут действовать?

[Saab95]

Saab95, добавлял те правила, так проблема состоит в том, что оно режет все порты, 80 TCP так же, можно ли добавить порты, на которые те правила не будут действовать?

 

Первые правила - разрешающие. Добавьте правило в самом верху, где порт 80 и действие accept, тогда ограничения по нему не будет, так же порты можно указать диапазоном или через запятую.

[baxim69]

Пробовал добавить, ничего не изменилось

chain-forwad, Scr. Address: 192.168.100.0/24, protocol:6(tcp), Dst. Port:80. Acrtion:accept

Изменено 3 апреля, 2013 пользователем baxim69

[Saab95]

src.address тут указывать не нужно, достаточно номера порта.

[baxim69]

Saab95, а почему используете Address List, а не просто Pool адресов в правилах? Address List нам помогает задействовать правило на каждое конкретное IP? А если просто Pool адресов задать, то правило будет действовать на весь Pool сразу (т.е. не по отдельности)?

[SSD]

Saab95, а почему используете Address List, а не просто Pool адресов в правилах? Address List нам помогает задействовать правило на каждое конкретное IP? А если просто Pool адресов задать, то правило будет действовать на весь Pool сразу (т.е. не по отдельности)?

В адрес лист можно добавлять адреса из любых сетей, пул ограничен самим собой.

[bubamart]

парни подскажите, нужно ограничить торент на микротик 751

как вот это делать из невтерминал я понял --

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

а как ЭТО?

Ограничение по - TCP

 

Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

chain=forward action=drop tcp-flags=syn protocol=tcp

src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

 

---

 

Ограничение по - UDP

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

chain=forward action=drop protocol=udp src-address-list=net

connection-limit=40,32

Терминал выдает ошибку при вставке

и нужно ли потом после создания правил их упорядочить?- сначала разрешающие, потом запрещающие

помоготе пож.

[[EF]Kot]

парни подскажите, нужно ограничить торент на микротик 751

как вот это делать из невтерминал я понял --

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

а как ЭТО?

Ограничение по - TCP

 

Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

chain=forward action=drop tcp-flags=syn protocol=tcp

src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

 

---

 

Ограничение по - UDP

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

chain=forward action=drop protocol=udp src-address-list=net

connection-limit=40,32

Терминал выдает ошибку при вставке

и нужно ли потом после создания правил их упорядочить?- сначала разрешающие, потом запрещающие

помоготе пож.

Версия soft какая ?

[pandel]

chain=forward action=drop protocol=udp src-address-list=dst_list

connection-limit=40,32

 

попробовал прописать, количество сессий не режется, где ошибся? ограничение pps работает

 

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=10.1.0.2-10.1.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

Изменено 17 мая, 2013 пользователем pandel

[pandel]

также заметил что при ограничении pps оно действует на весь трафик, браузер начинает сильно тормозить

 

upd все заработало

 

/ip firewall filter

add action=add-dst-to-address-list address-list=dst_list chain=forward dst-address=10.1.0.1-10.1.0.254 protocol=udp

add action=add-src-to-address-list address-list=src_list chain=forward dst-address=!10.1.0.1-10.1.0.254 protocol=udp

add chain=forward dst-address-list=dst_list dst-limit=200,200,dst-address protocol=udp

add chain=forward src-address-list=src_list dst-limit=200,200,src-address protocol=udp

add action=reject chain=forward dst-address-list=dst_list protocol=udp

add action=reject chain=forward src-address-list=src_list protocol=udp

Изменено 17 мая, 2013 пользователем pandel

[baxim69]

Как можно эти правила задать по расписанию? Т.е. Утром, днем правило отключено, вечером, ночью включено

[Saab95]

Как можно эти правила задать по расписанию? Т.е. Утром, днем правило отключено, вечером, ночью включено

 

Через system->scheduler, ставите интервал 24 часа и нужное время старта, например 8 часов. Пишите команды на отключение, а в 0 часов на включение. Только к каждому правилу надо создать комментарий, для каждого свой, и в планировщике будете писать set [find comment=xxx] disabled=yes или no

 

Либо на вкладке Extra при создании правила в пункте Time указываете интервал, в какое время оно работает. Для всех тогда надо ставить одинаковое.

[baxim69]

Saab95, благодарю. Не пойму, меняю значение Time, ничего не меняется.

Изменено 28 июля, 2013 пользователем baxim69

[baxim69]

скрин

[Saab95]

Это время, когда работает правило. Создаете все правила, ставите интервал времени, включаете (что бы были черными а не серыми), и они сами будут работать в нужное время.

[yKpon]

порезать торренты можно резать на базе или на клиентах? как это будет выглядеть?

авторизация через PPPoE на сервере под линукс

Изменено 29 июля, 2013 пользователем yKpon

[ramzes_83]

немного офтоп, но у себя (около 30 машин) сделал по примеру из сети (ссылку не нашел).

На одном компе поставил торент, с веб интерфейсом. Настроил как положено, чтоб не грузил сеть, расшарил папку для закачки. 2 ярлыка (на веб морду и на папку готовых файлов) и мини инструкцию положил в общий доступ.

Инструктаж любителей качать. Были попытки покачать самим с полной скоростью - резал вручную скорость до плинтуса, или блокировал на час-день. Больше желаний не возникает.

[x-rayd]

порезать торренты можно резать на базе или на клиентах? как это будет выглядеть?

авторизация через PPPoE на сервере под линукс

 

Мы нашли вроде как оптимальный способ шайпировать торрент трафик, по крайней мере у нас ето неплохо получаетса.

 

1. В Firewall ставим правило на протокол UDP connection лимит 10 соединений. Для skype и онлаин игр 10 соединений больше чем достаточно.

2. Также ставим на UDP правило в Extra Dst. Limit Rate 50 в секунду. Тоесть все что больше 50 пакетов в секунду на UDP пропускаем а остальное дроп!

 

После етого получается следущая картина. Торрент ведь умный и пытается качать по UDP, но тут же видит что его удп соединения дропаются и сам переходит на TCP.

А прикол в том что layer7 и all-p2p замечательно отлавливают торренты именно по TCP, а вот по UDP почти нехрена не отлавливают.

 

Етим самым мы заставили весь торрент трафик переключится на TCP, и тут же маркируем его и отправляем в QueueTree где мы на весь Торрент трафик ставим Max. Limit например 20 Мбит.

В QueueTree желательно еще использовать QueueType чтобы торрент трафик на всех клиентов одинаково делился.

 

Вот в принципе и все, у нас ета схема замечательно работает!!!