Перейти к содержимому
Калькуляторы

Mikrotik и торрент Как ограничить кол-во подключений

А как можно на Mikrotik полностью заблокировать торрент клиенты, версия ROS 6.4 в природе существуют рабочие решения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

inframe, никак. Начните читать с первой стр. этой темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

немного офтоп, но у себя (около 30 машин) сделал по примеру из сети (ссылку не нашел).

На одном компе поставил торент, с веб интерфейсом. Настроил как положено, чтоб не грузил сеть, расшарил папку для закачки. 2 ярлыка (на веб морду и на папку готовых файлов) и мини инструкцию положил в общий доступ.

Инструктаж любителей качать. Были попытки покачать самим с полной скоростью - резал вручную скорость до плинтуса, или блокировал на час-день. Больше желаний не возникает.

Отличное решение ! А лучше вообще зарезать весь трафик и желаний получать от Вас интернет не возникнет больше ни у кого.

ЗЫ

Надо ставить решения с достаточным ппс ( 30K и более), тогда ничего резать,включая сессии, торренты, скайп,игры и др. не придется.

У UBNT/MT ппс 27K в точка -точка. В малтипойнт ппс снижается до 17K . Это происходит по той же причине, по которой у UBNT/MT деградирует пропускная способность сектора с 70-90 мбит/c в точка-точка до 30 мбит/c в точка -многоточка при более 10 клиентах.

Как временное решение можно порекомендовать поставить МТ с гигабитным портом - у него больше ппс в точка-точка, но в малтипойнт ппс у него деградирует также стремительно как и у других wifi. Поэтому это проблему принципиально не решит.

Также следует учесть, что использование PPPoe повышает требования к ппс из за высокого служебного трафика мелкими пакетами и снижает пропускную способность в PMP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Также следует учесть, что использование PPPoe повышает требования к ппс из за высокого служебного трафика мелкими пакетами и снижает пропускную способность в PMP

 

PPPoE не увеличивает пакетную нагрузку. Сколько пакетов приходит по радио, столько приходит и по туннелю, имеется несколько больший объем трафика на служебный заголовок и все.

 

pppoe-test.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто может помочь ни одно правило блокирующие торрент неработает с ррое соединением

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

Возникла проблема с 1 клиентом, выкачивает торренты на 5М круглые сутки, чем портит жизнь.

 

Пробую приминить правило из 1го поста

Ограничение по - TCP

 

Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

chain=forward action=drop tcp-flags=syn protocol=tcp

src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

 

---

 

Ограничение по - UDP

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

chain=forward action=drop protocol=udp src-address-list=net

connection-limit=40,32

 

Вот что у меня прописано:

 

/ip firewall filter

add action=drop chain=forward connection-limit=40,32 dst-port=!80,443,8080 \

protocol=tcp src-address-list=torrent_limit tcp-flags=syn

add action=drop chain=forward connection-limit=40,32 protocol=udp \

src-address-list=torrent_limit

/ip firewall address-list

add address=192.168.1.2 list=torrent_limit

 

 

И клиент как качал на 5М так и качает, как идет 500PPS так и продолжает, даже если кол-во сессий ставлю 10.

 

В чем ошибка, что не верно указал?

 

p.s. подстеть клиентам отдаю 192.168.1.0/30

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

[

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

 

Тэги - зарезать торренты, ограничение ограничить количества пакетов =)

А как это же правило разделить на поток приема и отсылки кол-ва пакетов?

Изменено пользователем dronis3

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

товарищи, вот мои исследования протокола L7. довольно интересные результаты.

post-91863-028326800 1428085287_thumb.jpg

Изменено пользователем linkodd

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, как правильно и как лучше firewall настроить на микротике?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы нашли вроде как оптимальный способ шайпировать торрент трафик, по крайней мере у нас ето неплохо получаетса.

 

1. В Firewall ставим правило на протокол UDP connection лимит 10 соединений. Для skype и онлаин игр 10 соединений больше чем достаточно.

2. Также ставим на UDP правило в Extra Dst. Limit Rate 50 в секунду. Тоесть все что больше 50 пакетов в секунду на UDP пропускаем а остальное дроп!

 

После етого получается следущая картина. Торрент ведь умный и пытается качать по UDP, но тут же видит что его удп соединения дропаются и сам переходит на TCP.

А прикол в том что layer7 и all-p2p замечательно отлавливают торренты именно по TCP, а вот по UDP почти нехрена не отлавливают.

 

Етим самым мы заставили весь торрент трафик переключится на TCP, и тут же маркируем его и отправляем в QueueTree где мы на весь Торрент трафик ставим Max. Limit например 20 Мбит.

В QueueTree желательно еще использовать QueueType чтобы торрент трафик на всех клиентов одинаково делился.

 

Вот в принципе и все, у нас ета схема замечательно работает!!!

 

 

Добрый день!

 

 

Попробовал применить Вашу схему, вот что получилось:

 

1. В Firewall ставим правило на протокол UDP connection лимит 10 соединений. Для skype и онлаин игр 10 соединений больше чем достаточно.

 

add action=drop chain=forward connection-limit=10,32 protocol=udp src-address=192.168.13.5

 

2. Также ставим на UDP правило в Extra Dst. Limit Rate 50 в секунду. Тоесть все что больше 50 пакетов в секунду на UDP пропускаем а остальное дроп!

 

add action=add-dst-to-address-list address-list=dst_list chain=forward disabled=no dst-address=192.168.13.5 protocol=udp
add chain=forward disabled=no dst-address-list=dst_list dst-limit=50,50,dst-address protocol=udp
add action=reject chain=forward disabled=no dst-address-list=dst_list protocol=udp reject-with=icmp-admin-prohibited

 

Етим самым мы заставили весь торрент трафик переключится на TCP, и тут же маркируем его и отправляем в QueueTree где мы на весь Торрент трафик ставим Max. Limit например 20 Мбит.

В QueueTree желательно еще использовать QueueType чтобы торрент трафик на всех клиентов одинаково делился.

 

Торрент после этого начинает качать по TCP и я попытался его полностью дропать:

 

add action=drop chain=forward disabled=no layer7-protocol=bittorent p2p=all-p2p

 

Но не выходит, в чем моя ошибка?

Изменено пользователем divxl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте, есть 2 группы пользователей "User", "VIP", при таком правиле пользователи группы "User" будут иметь 5 сессий на каждого или на всех ? Нужно что-бы каждый имел 5 сессий.

 

chain=forward action=drop protocol=tcp src-address-list=!VIP connection-limit=5,32 dst-port=!80,443

 

Или что-бы каждый имел 5 сессий обязательно заносить всех пользователь "User" в адрес лист и делать наоборот ?

 

chain=forward action=drop protocol=tcp src-address-list=User connection-limit=5,32 dst-port=!80,443

 

Или можно прописать пользователь User через дефис

 

chain=forward action=drop protocol=tcp src-address=192.168.. - 192.168.. connection-limit=5,32 dst-port=!80,443

Какой вариант ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

awax пиши всех через запятую :D

 

будет огонь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

гранияение количество пакетов в секунду для каждого клиента из сканлиста

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Saab95 Добрый день.

Объясните пожалуйста смысл правила

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

Оно должно располагаться выше правил accept ?

Спасибо.

Изменено пользователем Dartew

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните пожалуйста смысл правила

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

Оно должно располагаться выше правил accept ?

 

Располагаться должно в самом низу, т.к. блокирует весь трафик, который не ушел в разрешенный предыдущими правилами. Реджект это что-то типа дроп, отличие в том, что данные не просто пропадают, а возвращается уведомление о том, что они были заблокированы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95

Спасибо за ответ.

Получается если например у меня идут с верху вниз несколько правил с экшен - drop с цепочкой input на разные интерфейсы (с разными протоколами и портами) а предпоследнее правило цепочка - forward, экшен - aссept то правило

chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

должно распологатся в самом низу?

Изменено пользователем Dartew

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если пакет попадает в правило он дальше не идет, именно по этому, если вы избрали схему запрещено все, что не разрешено, то правила дропа всего должно быть внизу, а верхние пропустят то, что разрешено.

Есть и другая схема - разрешено все, что не запрещено - тогда идут запрещающие правила и все, никакого разрешения на все внизу уже не указывают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я извиняюсь что не в тему не знал где спросить купил Mikrotik RB911G-5HPacD-NB (NetBox 5) теперь незнаю как их настроить на передачу и прием. до этого пользовался убнт если кто может помоч скринами помогите пожалуста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C ограничением торрентов на mikrotik все понятно.

А как можно запретить раздачу торрентов? Пусть качают, не жалко, а раздавать нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.