[mike475]

Здравствуйте, уважаемые учасники форума. Как реализовать сдедующее : есть базовая от нее идет лан на сервер билинга посредине между ними роутербоард на мт. Нужно запретить весь торент трафик по расписанию. Возможно ли это, если да то как ?

Нет.Вы просто не можете обнаружить этот трафик.

ок. как минимизировать конкретно в моем случае влияние торентов в частности на беспроводную часть сети ?

Ограничивать количество ссесий.

на примере rb 750 можно написать конкретные правила ?

А остальные темы глянуть слабо? 2 дня назад обсуждалось тоже самое.

не слабо, пытаюсь экономить время. Кто нибудь напишет что нибудь конкретное, я не силен в мт, фраза ограничить количество сесий для меня мало что говорит. Желательно написать понятный алгоритм в командах мт, который решит мою и я думаю не только мою проблему и можно будет закрыть тему как таковую исходя из ее названия.

 

Все понимают что лень двигатель прогресса,но все же.

Вам что лень почитать первую стричку этой ветки? там ведь все описали для тех кто не доконца понимает настройки МТ (для тех кто в танке) , раписано как ограничить как для каждого клинта, так и для для всей подсети.

Ну а если лень читать - смотрите видео на утюбке, писать и сливать конфиги вам некто не бедет.

Если сделаете все сами быстрее запомноца!

огромное спасибо за помощь. главное что на форуме - рационально отвечть на вопросы :). Процитируйте, ответ этого форума на поставленые мной вопросы, вы ж не в танке ?

[porozut]

Нет никакой разницы какой борд настраивать, по функционалу они почти идентичны!

Лень 100%двигатель прогресса!

 

Прочтите всю первую страничку поста там описана именно ваша проблема!

 

 

Я бы вам ее скопировал но сижу на форуме с тела и не очень корректно выходит копирование.

[Yarlan Zey]

Ленивый вопрошатель олололо сделайте мне сеть,

ответ на ваши вопросы тут:

 

Уууууууу!!! чууууююююю зоооовууууут мееееняяяяя, пооооомоооощииии проооосяяяяят!!! =)

 

Вот они правила хитрые для того чтобы не родимым пользователям малину обламывать, торрент сессии резать, пакетную производительность ограничивать, и всякие другие пакости гадости делать:

 

Ограничение по - TCP

 

Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

chain=forward action=drop tcp-flags=syn protocol=tcp

src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

 

---

 

Ограничение по - UDP

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

chain=forward action=drop protocol=udp src-address-list=net

connection-limit=40,32

 

---

 

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

 

---

 

И не забудьте скачать версию микротика 5.12 и записать ее на точку, в ней будет лучше работать радиокарта, клиенты не так часто отваливаться и так далее.

 

Тэги - зарезать торренты, ограничение ограничить количества пакетов =)

[Trotillo]

Есть же болваны=)

[SSD]

Есть же болваны=)

или толстые тролли. ;)

[mike475]

Нет никакой разницы какой борд настраивать, по функционалу они почти идентичны!

Лень 100%двигатель прогресса!

 

Прочтите всю первую страничку поста там описана именно ваша проблема!

 

 

Я бы вам ее скопировал но сижу на форуме с тела и не очень корректно выходит копирование.

да. но я думаю всем понятно что есть разница где имеено этот боард стоит. я имел ввиду имеено это.

[Saab95]

Вот посмотрите тут видео по ограничению количества пакетов - Ограничение количество пакетов на микротике (ссылка на соседнюю тему)

[ice_m]

Имеем микротик, на котором задействовано 3 интерфейса: wlan1, wlan2, eth1. Клиентские компьютеры, которые посредством точек доступа подключаются к wlan1, имеют адреса вида 10.249.1.1. Интернет сосется из eth1. На wlan2 клиентскую подсеть ограничивать никак не надо.

Проверьте, плиз, правильно ли сделал правила:

/ip firewall filter

add action=add-dst-to-address-list address-list=dst_list chain=forward dst-address=10.249.1.1-10.249.1.254 protocol=udp

add action=add-src-to-address-list address-list=src_list chain=forward dst-address=!10.249.1.1-10.249.1.254 protocol=udp

add chain=forward dst-address-list=dst_list dst-limit=200,200,dst-address protocol=udp

add chain=forward src-address-list=src_list dst-limit=200,200,src-address protocol=udp

add action=reject chain=forward dst-address-list=dst_list protocol=udp

add action=reject chain=forward src-address-list=src_list protocol=udp

 

не надо ли добавлять в каком-то из правил input interface, чтобы оно не распространялось на wlan2?

[Saab95]

Если вы в 2-х последних правилах укажите In и Out интерфейсы со знаком ! то к ним правило применяться не будет. В каждом правиле только свой интерфейс, проверите опытным путем.

[mike475]

Уууууууу!!! чууууююююю зоооовууууут мееееняяяяя, пооооомоооощииии проооосяяяяят!!! =)

 

Вот они правила хитрые для того чтобы не родимым пользователям малину обламывать, торрент сессии резать, пакетную производительность ограничивать, и всякие другие пакости гадости делать:

 

Ограничение по - TCP

 

Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

chain=forward action=drop tcp-flags=syn protocol=tcp

src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

 

---

 

Ограничение по - UDP

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

chain=forward action=drop protocol=udp src-address-list=net

connection-limit=40,32

 

---

 

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

 

---

 

И не забудьте скачать версию микротика 5.12 и записать ее на точку, в ней будет лучше работать радиокарта, клиенты не так часто отваливаться и так далее.

 

Тэги - зарезать торренты, ограничение ограничить количества пакетов =)

^) я так понимаю, о синтаксисе речь не идет вообще. второе - микротик 5.6 написал мне что ограничить возможно только количество тисипи сессий. Что не так ?

Изменено 13 февраля, 2012 пользователем mike475

[Saab95]

Версия 5.6 не так.

[mike475]

Версия 5.6 не так.

как даунгрейдить ерби 750 ?

[Saab95]

Зачем даунгрейдить, сходите на официальный сайт микротика скачайте 5.12, если еще новее не вышло.

[Anzor]

Доброго времени суток всем!

У меня стоит задача запретить торренты сотрудникам небольшой формы. Не знаю как сделать.

Имеется RB 450G и локальная сеть с пользователями. Ардеса и шлюз выдаёт DHCP-сервер данного маршрутизатора.

Много различных правил фаерволла RouterOS урезания/приоретизации/ограничения торрентов предлагает интернет-сообщество на разных сайтах. Но, к сожалению, моло что из этого работает.

"Начитавшись предисловий" на разных форумах я начал попытку создания правила для фаерволла.

Чтобы хоть с какого-нибудь конца начать я установил себе uTorrent и начал качать фильм. При этом NetLimiter 3.0 PRO показал очень большое колличество открытых соединений по протоколу UDP, инициированных моим хостом. По моим наблюдениям ни одна другая программа не создаёт такой шквал сессий по UDP.

У меня возникла идея реализовать на фаерволле RouterOS следующий алгоритм: "отключить хосту на 5 минут интернет, если в течении 5 секунд этот хост откроет более 20 UDP сессий на разные Интернет-адреса". Ожидание 5 минут без интернета отбило бы желание сотрудникам запускать торрент-клиент.

Но проблема в том, что ни на одном сайте даже близко похожего правила не обсуждается чтобы я мог взять его отдельные элементы.

Уважаемые форумчане, есть ли какие-нибудь соображения как такое правило должно выглядеть в терминале?

[Ferdin]

Надоело бороться с uTorrent у клиентов? Так настрой свой Mikrotik Routerboard правильно!

[Sipl]

Тогда используйте вот это ограничение по количеству пакетов для UDP:

 

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

 

Там последнем правиле где дроп можете указать какие порты пускать без ограничения, тогда к ним правило не будет применено.

Прописал на своем RB750 эти правило, как понять применилось оно или нет?

Изменено 4 января, 2013 пользователем Sipl

[Saab95]

Сейчас у вас трафика мало. Когда будет много, нажимаете кнопку Torch в сетевом интерфейсе, к которому подключены клиенты, ставите все галочки и жмете старт. Сортируете по количеству пакетов и смотрите, ограничивается ли их количество до 250 или нет.

[Sipl]

Сейчас у вас трафика мало. Когда будет много, нажимаете кнопку Torch в сетевом интерфейсе, к которому подключены клиенты, ставите все галочки и жмете старт. Сортируете по количеству пакетов и смотрите, ограничивается ли их количество до 250 или нет.

ок спасибо, попробуем!

[Ferdin]

Вот по этим параметрам в Queue List во вкладках Rx Packets и Tx Packet, не указывается сколько ограничивается по количеству пакетов?

[Saab95]

Нет. Вот например при доступе по PPPoE у каждого клиента свой интерфейс и очень удобно мониторить и трафик, и количество пакетов. Все наглядно видно.

[dev_x]

---

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

 

Это касательно приема а как ограничить пакеты на отправку ?

[Saab95]

---

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

 

Это касательно приема а как ограничить пакеты на отправку ?

 

В обе стороны пакеты ограничивает.

 

Работу правила очень хорошо видно при соединении по PPPoE.

 

И вообще я даже видео выкладывал на ютубе.

 

[Yaten]

На сколько можно ограничить UDP, чтоб скайп сохранил работоспособность ?

[NewUse]

256кБит для видео на коннект.

[saaremaa]

Неужели нашли как вычленять Skype из потока?