mike475 Posted February 11, 2012 · Report post Здравствуйте, уважаемые учасники форума. Как реализовать сдедующее : есть базовая от нее идет лан на сервер билинга посредине между ними роутербоард на мт. Нужно запретить весь торент трафик по расписанию. Возможно ли это, если да то как ? Нет.Вы просто не можете обнаружить этот трафик. ок. как минимизировать конкретно в моем случае влияние торентов в частности на беспроводную часть сети ? Ограничивать количество ссесий. на примере rb 750 можно написать конкретные правила ? А остальные темы глянуть слабо? 2 дня назад обсуждалось тоже самое. не слабо, пытаюсь экономить время. Кто нибудь напишет что нибудь конкретное, я не силен в мт, фраза ограничить количество сесий для меня мало что говорит. Желательно написать понятный алгоритм в командах мт, который решит мою и я думаю не только мою проблему и можно будет закрыть тему как таковую исходя из ее названия. Все понимают что лень двигатель прогресса,но все же. Вам что лень почитать первую стричку этой ветки? там ведь все описали для тех кто не доконца понимает настройки МТ (для тех кто в танке) , раписано как ограничить как для каждого клинта, так и для для всей подсети. Ну а если лень читать - смотрите видео на утюбке, писать и сливать конфиги вам некто не бедет. Если сделаете все сами быстрее запомноца! огромное спасибо за помощь. главное что на форуме - рационально отвечть на вопросы :). Процитируйте, ответ этого форума на поставленые мной вопросы, вы ж не в танке ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
porozut Posted February 11, 2012 · Report post Нет никакой разницы какой борд настраивать, по функционалу они почти идентичны! Лень 100%двигатель прогресса! Прочтите всю первую страничку поста там описана именно ваша проблема! Я бы вам ее скопировал но сижу на форуме с тела и не очень корректно выходит копирование. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Yarlan Zey Posted February 11, 2012 · Report post Ленивый вопрошатель олололо сделайте мне сеть, ответ на ваши вопросы тут: Уууууууу!!! чууууююююю зоооовууууут мееееняяяяя, пооооомоооощииии проооосяяяяят!!! =) Вот они правила хитрые для того чтобы не родимым пользователям малину обламывать, торрент сессии резать, пакетную производительность ограничивать, и всякие другие пакости гадости делать: Ограничение по - TCP Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб. chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=net dst-port=!80,443,8080 connection-limit=40,32 --- Ограничение по - UDP Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа. chain=forward action=drop protocol=udp src-address-list=net connection-limit=40,32 --- Огранияение количество пакетов в секунду для каждого клиента из сканлиста ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. --- И не забудьте скачать версию микротика 5.12 и записать ее на точку, в ней будет лучше работать радиокарта, клиенты не так часто отваливаться и так далее. Тэги - зарезать торренты, ограничение ограничить количества пакетов =) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trotillo Posted February 11, 2012 · Report post Есть же болваны=) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted February 11, 2012 · Report post Есть же болваны=) или толстые тролли. ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mike475 Posted February 12, 2012 · Report post Нет никакой разницы какой борд настраивать, по функционалу они почти идентичны! Лень 100%двигатель прогресса! Прочтите всю первую страничку поста там описана именно ваша проблема! Я бы вам ее скопировал но сижу на форуме с тела и не очень корректно выходит копирование. да. но я думаю всем понятно что есть разница где имеено этот боард стоит. я имел ввиду имеено это. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 12, 2012 · Report post Вот посмотрите тут видео по ограничению количества пакетов - Ограничение количество пакетов на микротике (ссылка на соседнюю тему) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ice_m Posted February 13, 2012 · Report post Имеем микротик, на котором задействовано 3 интерфейса: wlan1, wlan2, eth1. Клиентские компьютеры, которые посредством точек доступа подключаются к wlan1, имеют адреса вида 10.249.1.1. Интернет сосется из eth1. На wlan2 клиентскую подсеть ограничивать никак не надо. Проверьте, плиз, правильно ли сделал правила: /ip firewall filter add action=add-dst-to-address-list address-list=dst_list chain=forward dst-address=10.249.1.1-10.249.1.254 protocol=udp add action=add-src-to-address-list address-list=src_list chain=forward dst-address=!10.249.1.1-10.249.1.254 protocol=udp add chain=forward dst-address-list=dst_list dst-limit=200,200,dst-address protocol=udp add chain=forward src-address-list=src_list dst-limit=200,200,src-address protocol=udp add action=reject chain=forward dst-address-list=dst_list protocol=udp add action=reject chain=forward src-address-list=src_list protocol=udp не надо ли добавлять в каком-то из правил input interface, чтобы оно не распространялось на wlan2? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 13, 2012 · Report post Если вы в 2-х последних правилах укажите In и Out интерфейсы со знаком ! то к ним правило применяться не будет. В каждом правиле только свой интерфейс, проверите опытным путем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mike475 Posted February 13, 2012 (edited) · Report post Уууууууу!!! чууууююююю зоооовууууут мееееняяяяя, пооооомоооощииии проооосяяяяят!!! =) Вот они правила хитрые для того чтобы не родимым пользователям малину обламывать, торрент сессии резать, пакетную производительность ограничивать, и всякие другие пакости гадости делать: Ограничение по - TCP Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб. chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=net dst-port=!80,443,8080 connection-limit=40,32 --- Ограничение по - UDP Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа. chain=forward action=drop protocol=udp src-address-list=net connection-limit=40,32 --- Огранияение количество пакетов в секунду для каждого клиента из сканлиста ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. --- И не забудьте скачать версию микротика 5.12 и записать ее на точку, в ней будет лучше работать радиокарта, клиенты не так часто отваливаться и так далее. Тэги - зарезать торренты, ограничение ограничить количества пакетов =) ^) я так понимаю, о синтаксисе речь не идет вообще. второе - микротик 5.6 написал мне что ограничить возможно только количество тисипи сессий. Что не так ? Edited February 13, 2012 by mike475 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 13, 2012 · Report post Версия 5.6 не так. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mike475 Posted February 13, 2012 · Report post Версия 5.6 не так. как даунгрейдить ерби 750 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 13, 2012 · Report post Зачем даунгрейдить, сходите на официальный сайт микротика скачайте 5.12, если еще новее не вышло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Anzor Posted June 25, 2012 · Report post Доброго времени суток всем! У меня стоит задача запретить торренты сотрудникам небольшой формы. Не знаю как сделать. Имеется RB 450G и локальная сеть с пользователями. Ардеса и шлюз выдаёт DHCP-сервер данного маршрутизатора. Много различных правил фаерволла RouterOS урезания/приоретизации/ограничения торрентов предлагает интернет-сообщество на разных сайтах. Но, к сожалению, моло что из этого работает. "Начитавшись предисловий" на разных форумах я начал попытку создания правила для фаерволла. Чтобы хоть с какого-нибудь конца начать я установил себе uTorrent и начал качать фильм. При этом NetLimiter 3.0 PRO показал очень большое колличество открытых соединений по протоколу UDP, инициированных моим хостом. По моим наблюдениям ни одна другая программа не создаёт такой шквал сессий по UDP. У меня возникла идея реализовать на фаерволле RouterOS следующий алгоритм: "отключить хосту на 5 минут интернет, если в течении 5 секунд этот хост откроет более 20 UDP сессий на разные Интернет-адреса". Ожидание 5 минут без интернета отбило бы желание сотрудникам запускать торрент-клиент. Но проблема в том, что ни на одном сайте даже близко похожего правила не обсуждается чтобы я мог взять его отдельные элементы. Уважаемые форумчане, есть ли какие-нибудь соображения как такое правило должно выглядеть в терминале? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ferdin Posted June 25, 2012 · Report post Надоело бороться с uTorrent у клиентов? Так настрой свой Mikrotik Routerboard правильно! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sipl Posted January 4, 2013 (edited) · Report post Тогда используйте вот это ограничение по количеству пакетов для UDP: Огранияение количество пакетов в секунду для каждого клиента из сканлиста ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. Там последнем правиле где дроп можете указать какие порты пускать без ограничения, тогда к ним правило не будет применено. Прописал на своем RB750 эти правило, как понять применилось оно или нет? Edited January 4, 2013 by Sipl Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 5, 2013 · Report post Сейчас у вас трафика мало. Когда будет много, нажимаете кнопку Torch в сетевом интерфейсе, к которому подключены клиенты, ставите все галочки и жмете старт. Сортируете по количеству пакетов и смотрите, ограничивается ли их количество до 250 или нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sipl Posted January 5, 2013 · Report post Сейчас у вас трафика мало. Когда будет много, нажимаете кнопку Torch в сетевом интерфейсе, к которому подключены клиенты, ставите все галочки и жмете старт. Сортируете по количеству пакетов и смотрите, ограничивается ли их количество до 250 или нет. ок спасибо, попробуем! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ferdin Posted January 6, 2013 · Report post Вот по этим параметрам в Queue List во вкладках Rx Packets и Tx Packet, не указывается сколько ограничивается по количеству пакетов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 6, 2013 · Report post Нет. Вот например при доступе по PPPoE у каждого клиента свой интерфейс и очень удобно мониторить и трафик, и количество пакетов. Все наглядно видно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dev_x Posted January 7, 2013 · Report post --- Огранияение количество пакетов в секунду для каждого клиента из сканлиста ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. Это касательно приема а как ограничить пакеты на отправку ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 7, 2013 · Report post --- Огранияение количество пакетов в секунду для каждого клиента из сканлиста ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. Это касательно приема а как ограничить пакеты на отправку ? В обе стороны пакеты ограничивает. Работу правила очень хорошо видно при соединении по PPPoE. И вообще я даже видео выкладывал на ютубе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Yaten Posted January 8, 2013 · Report post На сколько можно ограничить UDP, чтоб скайп сохранил работоспособность ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted January 8, 2013 · Report post 256кБит для видео на коннект. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 8, 2013 · Report post Неужели нашли как вычленять Skype из потока? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
