[inframe]

А как можно на Mikrotik полностью заблокировать торрент клиенты, версия ROS 6.4 в природе существуют рабочие решения?

[-кабельщик-]

inframe, никак. Начните читать с первой стр. этой темы.

[slv700]

немного офтоп, но у себя (около 30 машин) сделал по примеру из сети (ссылку не нашел).

На одном компе поставил торент, с веб интерфейсом. Настроил как положено, чтоб не грузил сеть, расшарил папку для закачки. 2 ярлыка (на веб морду и на папку готовых файлов) и мини инструкцию положил в общий доступ.

Инструктаж любителей качать. Были попытки покачать самим с полной скоростью - резал вручную скорость до плинтуса, или блокировал на час-день. Больше желаний не возникает.

Отличное решение ! А лучше вообще зарезать весь трафик и желаний получать от Вас интернет не возникнет больше ни у кого.

ЗЫ

Надо ставить решения с достаточным ппс ( 30K и более), тогда ничего резать,включая сессии, торренты, скайп,игры и др. не придется.

У UBNT/MT ппс 27K в точка -точка. В малтипойнт ппс снижается до 17K . Это происходит по той же причине, по которой у UBNT/MT деградирует пропускная способность сектора с 70-90 мбит/c в точка-точка до 30 мбит/c в точка -многоточка при более 10 клиентах.

Как временное решение можно порекомендовать поставить МТ с гигабитным портом - у него больше ппс в точка-точка, но в малтипойнт ппс у него деградирует также стремительно как и у других wifi. Поэтому это проблему принципиально не решит.

Также следует учесть, что использование PPPoe повышает требования к ппс из за высокого служебного трафика мелкими пакетами и снижает пропускную способность в PMP

[Saab95]

Также следует учесть, что использование PPPoe повышает требования к ппс из за высокого служебного трафика мелкими пакетами и снижает пропускную способность в PMP

 

PPPoE не увеличивает пакетную нагрузку. Сколько пакетов приходит по радио, столько приходит и по туннелю, имеется несколько больший объем трафика на служебный заголовок и все.

 

[kokasever]

Кто может помочь ни одно правило блокирующие торрент неработает с ррое соединением

[divxl]

Добрый день!

 

Возникла проблема с 1 клиентом, выкачивает торренты на 5М круглые сутки, чем портит жизнь.

 

Пробую приминить правило из 1го поста

Ограничение по - TCP

 

Правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

chain=forward action=drop tcp-flags=syn protocol=tcp

src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

 

---

 

Ограничение по - UDP

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

chain=forward action=drop protocol=udp src-address-list=net

connection-limit=40,32

 

Вот что у меня прописано:

 

/ip firewall filter

add action=drop chain=forward connection-limit=40,32 dst-port=!80,443,8080 \

protocol=tcp src-address-list=torrent_limit tcp-flags=syn

add action=drop chain=forward connection-limit=40,32 protocol=udp \

src-address-list=torrent_limit

/ip firewall address-list

add address=192.168.1.2 list=torrent_limit

 

 

И клиент как качал на 5М так и качает, как идет 500PPS так и продолжает, даже если кол-во сессий ставлю 10.

 

В чем ошибка, что не верно указал?

 

p.s. подстеть клиентам отдаю 192.168.1.0/30

[dronis3]

[

 

Правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.

 

Огранияение количество пакетов в секунду для каждого клиента из сканлиста

 

 

Тэги - зарезать торренты, ограничение ограничить количества пакетов =)

А как это же правило разделить на поток приема и отсылки кол-ва пакетов?

Edited April 3, 2015 by dronis3

[linkodd]

товарищи, вот мои исследования протокола L7. довольно интересные результаты.

Edited April 3, 2015 by linkodd

[dronis3]

Подскажите, как правильно и как лучше firewall настроить на микротике?

[divxl]

Мы нашли вроде как оптимальный способ шайпировать торрент трафик, по крайней мере у нас ето неплохо получаетса.

 

1. В Firewall ставим правило на протокол UDP connection лимит 10 соединений. Для skype и онлаин игр 10 соединений больше чем достаточно.

2. Также ставим на UDP правило в Extra Dst. Limit Rate 50 в секунду. Тоесть все что больше 50 пакетов в секунду на UDP пропускаем а остальное дроп!

 

После етого получается следущая картина. Торрент ведь умный и пытается качать по UDP, но тут же видит что его удп соединения дропаются и сам переходит на TCP.

А прикол в том что layer7 и all-p2p замечательно отлавливают торренты именно по TCP, а вот по UDP почти нехрена не отлавливают.

 

Етим самым мы заставили весь торрент трафик переключится на TCP, и тут же маркируем его и отправляем в QueueTree где мы на весь Торрент трафик ставим Max. Limit например 20 Мбит.

В QueueTree желательно еще использовать QueueType чтобы торрент трафик на всех клиентов одинаково делился.

 

Вот в принципе и все, у нас ета схема замечательно работает!!!

 

 

Добрый день!

 

 

Попробовал применить Вашу схему, вот что получилось:

 

1. В Firewall ставим правило на протокол UDP connection лимит 10 соединений. Для skype и онлаин игр 10 соединений больше чем достаточно.

 

add action=drop chain=forward connection-limit=10,32 protocol=udp src-address=192.168.13.5

 

2. Также ставим на UDP правило в Extra Dst. Limit Rate 50 в секунду. Тоесть все что больше 50 пакетов в секунду на UDP пропускаем а остальное дроп!

 

add action=add-dst-to-address-list address-list=dst_list chain=forward disabled=no dst-address=192.168.13.5 protocol=udp
add chain=forward disabled=no dst-address-list=dst_list dst-limit=50,50,dst-address protocol=udp
add action=reject chain=forward disabled=no dst-address-list=dst_list protocol=udp reject-with=icmp-admin-prohibited

 

Етим самым мы заставили весь торрент трафик переключится на TCP, и тут же маркируем его и отправляем в QueueTree где мы на весь Торрент трафик ставим Max. Limit например 20 Мбит.

В QueueTree желательно еще использовать QueueType чтобы торрент трафик на всех клиентов одинаково делился.

 

Торрент после этого начинает качать по TCP и я попытался его полностью дропать:

 

add action=drop chain=forward disabled=no layer7-protocol=bittorent p2p=all-p2p

 

Но не выходит, в чем моя ошибка?

Edited November 13, 2015 by divxl

[awax]

Здравствуйте, есть 2 группы пользователей "User", "VIP", при таком правиле пользователи группы "User" будут иметь 5 сессий на каждого или на всех ? Нужно что-бы каждый имел 5 сессий.

 

chain=forward action=drop protocol=tcp src-address-list=!VIP connection-limit=5,32 dst-port=!80,443

 

Или что-бы каждый имел 5 сессий обязательно заносить всех пользователь "User" в адрес лист и делать наоборот ?

 

chain=forward action=drop protocol=tcp src-address-list=User connection-limit=5,32 dst-port=!80,443

 

Или можно прописать пользователь User через дефис

 

chain=forward action=drop protocol=tcp src-address=192.168.. - 192.168.. connection-limit=5,32 dst-port=!80,443

Какой вариант ?

[FarSeerMellon]

awax пиши всех через запятую :D

 

будет огонь!

[Dartew]

гранияение количество пакетов в секунду для каждого клиента из сканлиста

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Saab95 Добрый день.

Объясните пожалуйста смысл правила

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

Оно должно располагаться выше правил accept ?

Спасибо.

Edited March 31, 2016 by Dartew

[Saab95]

Объясните пожалуйста смысл правила

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

Оно должно располагаться выше правил accept ?

 

Располагаться должно в самом низу, т.к. блокирует весь трафик, который не ушел в разрешенный предыдущими правилами. Реджект это что-то типа дроп, отличие в том, что данные не просто пропадают, а возвращается уведомление о том, что они были заблокированы.

[Dartew]

Saab95

Спасибо за ответ.

Получается если например у меня идут с верху вниз несколько правил с экшен - drop с цепочкой input на разные интерфейсы (с разными протоколами и портами) а предпоследнее правило цепочка - forward, экшен - aссept то правило

chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

должно распологатся в самом низу?

Edited March 31, 2016 by Dartew

[Saab95]

Если пакет попадает в правило он дальше не идет, именно по этому, если вы избрали схему запрещено все, что не разрешено, то правила дропа всего должно быть внизу, а верхние пропустят то, что разрешено.

Есть и другая схема - разрешено все, что не запрещено - тогда идут запрещающие правила и все, никакого разрешения на все внизу уже не указывают.

[xasanxadji]

я извиняюсь что не в тему не знал где спросить купил Mikrotik RB911G-5HPacD-NB (NetBox 5) теперь незнаю как их настроить на передачу и прием. до этого пользовался убнт если кто может помоч скринами помогите пожалуста

[zurk]

C ограничением торрентов на mikrotik все понятно.

А как можно запретить раздачу торрентов? Пусть качают, не жалко, а раздавать нельзя.