Jump to content
Калькуляторы

Микротик ограничение сессий подскажите как работает правило!

Подскажите пожалуйста, кто использовал эти правила:

 

ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

ip firewall filter add chain=forward action=drop protocol=udp src-address-list=torrent_limit connection-limit=40,32

 

я так понял эта строка dst-port=!80,443,8080 ограничивает действие правила на эти порты, т.е. если вместо 40 здесь "connection-limit=40,32" я поставлю ноль то страницы должны всё-равно открываться, правильно? Просто у меня полностью пропадает инет при этом....

Подскажите что в чём дело?

 

пробовал на трёх микротиках: RB750, RB951-2n,RB951Ui-2HnD.

Share this post


Link to post
Share on other sites

Yodda83,

 

если вместо 40 здесь "connection-limit=40,32" я поставлю ноль то страницы должны всё-равно открываться, правильно? Просто у меня полностью пропадает инет при этом....

 

Ничего странного не замечаете?

Share this post


Link to post
Share on other sites

40,32

вы знаете что знача эти цифры?

Share this post


Link to post
Share on other sites

40,32

вы знаете что знача эти цифры?

40 сессий на каждого пользователя, парвильно?

Share this post


Link to post
Share on other sites

Yodda83,

 

если вместо 40 здесь "connection-limit=40,32" я поставлю ноль то страницы должны всё-равно открываться, правильно? Просто у меня полностью пропадает инет при этом....

 

Ничего странного не замечаете?

нет, подскажите!

Share this post


Link to post
Share on other sites
ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

ip firewall filter add chain=forward action=drop protocol=udp src-address-list=torrent_limit connection-limit=40,32

 

Первое правило, я так понимаю для торрента поднято, ограничивает количество соединений, которые идут на порты отличные от 80,443,8080. Т.е. блокирует все что не веб траффик. Но насколько я понимаю правило блокирует также DNS запрос, который идет на 53й порт. Потому, если поставить ноль - блочит абсолютно все, потому не работает интернет.

40 - количество соединений.

32 - маска подсети.

 

Для блокировки торрентов советую просто заблокиорвать tcp\udp траффик на порты с 9000 - по 65535 но не для всей сети, а только для "качков". Правда заблокируются не только торренты, но и онлайн танчики всякие. У меня данная схема реализована и достаточно хорошо работает.

Share this post


Link to post
Share on other sites
ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

ip firewall filter add chain=forward action=drop protocol=udp src-address-list=torrent_limit connection-limit=40,32

 

Первое правило, я так понимаю для торрента поднято, ограничивает количество соединений, которые идут на порты отличные от 80,443,8080. Т.е. блокирует все что не веб траффик. Но насколько я понимаю правило блокирует также DNS запрос, который идет на 53й порт. Потому, если поставить ноль - блочит абсолютно все, потому не работает интернет.

40 - количество соединений.

32 - маска подсети.

 

Для блокировки торрентов советую просто заблокиорвать tcp\udp траффик на порты с 9000 - по 65535 но не для всей сети, а только для "качков". Правда заблокируются не только торренты, но и онлайн танчики всякие. У меня данная схема реализована и достаточно хорошо работает.

Спасибо что разеснили, про 53 порт не додумал...)

А по поводу торрента, на скольок я знаю он использует и порты и ниже 9000, например (6881-6889).

 

У меня на при закртых 9000 - 65535 (TCP/UDP) портах всё равно торрент заработал! нашёл лазейку...

Share this post


Link to post
Share on other sites

Diamont, что мешает мне поставить 500 порт?

Вобще мне кажется нужно скорость шейпить по объему скаченного, если много, то начинать ограничивать его.

А лучше вообще это занятие бросить, и просто напросто не оверселить...

Edited by SOFTOLAB

Share this post


Link to post
Share on other sites

Diamont, что мешает мне поставить 500 порт?

Вобще мне кажется нужно скорость шейпить по объему скаченного, если много, то начинать ограничивать его.

А лучше вообще это занятие бросить, и просто напросто не оверселить...

Ничего не мешает.Только речь не о тебе.

Share this post


Link to post
Share on other sites

Diamont, а что любители покачать с торрентов совсем что ли необразованные? Все равно найдется хоть один, но слишком умный качальщик.

Share this post


Link to post
Share on other sites

Diamont, а что любители покачать с торрентов совсем что ли необразованные? Все равно найдется хоть один, но слишком умный качальщик.

Расчёт на большинство, а не на одного шибко умного.

Share this post


Link to post
Share on other sites

Если тарифы все определенные, можно разбить абонентов на группы и использовать шейпер PCQ на каждого абонента, указав прямо в настройках общий лимит, там же можно задать и ограничение на связку по номеру порта, тогда абонент, запустивший торрент, сможет нормально открывать странички и использовать другие сервисы, ведь скорость будет распределяться динамически в пределах его полосы. Далее создаете глобальный шейпер, где режете опять всех абонентов по той же схеме, только общий лимит = 90 процентов от скорости канала. Тогда весь трафик абонентов будет сам резаться и выравниваться.

 

Если вы укажете лимит общей скорости = скорости канала, то схема работать не будет, т.к. входящий трафик порежет вышестоящий оператор, трафика всегда идет больше, чем потребляют клиенты.

Share this post


Link to post
Share on other sites

Спасибо всем что откликнулись!

 

Если тарифы все определенные, можно разбить абонентов на группы и использовать шейпер PCQ на каждого абонента, указав прямо в настройках общий лимит, там же можно задать и ограничение на связку по номеру порта, тогда абонент, запустивший торрент, сможет нормально открывать странички и использовать другие сервисы, ведь скорость будет распределяться динамически в пределах его полосы. Далее создаете глобальный шейпер, где режете опять всех абонентов по той же схеме, только общий лимит = 90 процентов от скорости канала. Тогда весь трафик абонентов будет сам резаться и выравниваться.

 

Если вы укажете лимит общей скорости = скорости канала, то схема работать не будет, т.к. входящий трафик порежет вышестоящий оператор, трафика всегда идет больше, чем потребляют клиенты.

Вот по поводу шейпера PCQ не очень понял как это на практике реализовать..

Share this post


Link to post
Share on other sites

Вот по поводу шейпера PCQ не очень понял как это на практике реализовать..

 

Можно вот тут почитать - http://wiki.mikrotik.com/images/8/8d/QoS_Megis_%28Russian_translate_by_white_crow_rev.2%29.pdf - но там для целей приоритезации трафика в сети провайдера по несколько другой схеме, но тоже вполне рабочая.

Share this post


Link to post
Share on other sites

Вот по поводу шейпера PCQ не очень понял как это на практике реализовать..

 

Можно вот тут почитать - http://wiki.mikrotik.com/images/8/8d/QoS_Megis_%28Russian_translate_by_white_crow_rev.2%29.pdf - но там для целей приоритезации трафика в сети провайдера по несколько другой схеме, но тоже вполне рабочая.

Спасибо интересная книжка!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this