Перейти к содержимому
Калькуляторы

Микротик ограничение сессий подскажите как работает правило!

Подскажите пожалуйста, кто использовал эти правила:

 

ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

ip firewall filter add chain=forward action=drop protocol=udp src-address-list=torrent_limit connection-limit=40,32

 

я так понял эта строка dst-port=!80,443,8080 ограничивает действие правила на эти порты, т.е. если вместо 40 здесь "connection-limit=40,32" я поставлю ноль то страницы должны всё-равно открываться, правильно? Просто у меня полностью пропадает инет при этом....

Подскажите что в чём дело?

 

пробовал на трёх микротиках: RB750, RB951-2n,RB951Ui-2HnD.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Yodda83,

 

если вместо 40 здесь "connection-limit=40,32" я поставлю ноль то страницы должны всё-равно открываться, правильно? Просто у меня полностью пропадает инет при этом....

 

Ничего странного не замечаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

40,32

вы знаете что знача эти цифры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

40,32

вы знаете что знача эти цифры?

40 сессий на каждого пользователя, парвильно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Yodda83,

 

если вместо 40 здесь "connection-limit=40,32" я поставлю ноль то страницы должны всё-равно открываться, правильно? Просто у меня полностью пропадает инет при этом....

 

Ничего странного не замечаете?

нет, подскажите!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

ip firewall filter add chain=forward action=drop protocol=udp src-address-list=torrent_limit connection-limit=40,32

 

Первое правило, я так понимаю для торрента поднято, ограничивает количество соединений, которые идут на порты отличные от 80,443,8080. Т.е. блокирует все что не веб траффик. Но насколько я понимаю правило блокирует также DNS запрос, который идет на 53й порт. Потому, если поставить ноль - блочит абсолютно все, потому не работает интернет.

40 - количество соединений.

32 - маска подсети.

 

Для блокировки торрентов советую просто заблокиорвать tcp\udp траффик на порты с 9000 - по 65535 но не для всей сети, а только для "качков". Правда заблокируются не только торренты, но и онлайн танчики всякие. У меня данная схема реализована и достаточно хорошо работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

ip firewall filter add chain=forward action=drop protocol=udp src-address-list=torrent_limit connection-limit=40,32

 

Первое правило, я так понимаю для торрента поднято, ограничивает количество соединений, которые идут на порты отличные от 80,443,8080. Т.е. блокирует все что не веб траффик. Но насколько я понимаю правило блокирует также DNS запрос, который идет на 53й порт. Потому, если поставить ноль - блочит абсолютно все, потому не работает интернет.

40 - количество соединений.

32 - маска подсети.

 

Для блокировки торрентов советую просто заблокиорвать tcp\udp траффик на порты с 9000 - по 65535 но не для всей сети, а только для "качков". Правда заблокируются не только торренты, но и онлайн танчики всякие. У меня данная схема реализована и достаточно хорошо работает.

Спасибо что разеснили, про 53 порт не додумал...)

А по поводу торрента, на скольок я знаю он использует и порты и ниже 9000, например (6881-6889).

 

У меня на при закртых 9000 - 65535 (TCP/UDP) портах всё равно торрент заработал! нашёл лазейку...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для торрента все порты выше 1024 надо блочить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Diamont, что мешает мне поставить 500 порт?

Вобще мне кажется нужно скорость шейпить по объему скаченного, если много, то начинать ограничивать его.

А лучше вообще это занятие бросить, и просто напросто не оверселить...

Изменено пользователем SOFTOLAB

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Diamont, что мешает мне поставить 500 порт?

Вобще мне кажется нужно скорость шейпить по объему скаченного, если много, то начинать ограничивать его.

А лучше вообще это занятие бросить, и просто напросто не оверселить...

Ничего не мешает.Только речь не о тебе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Diamont, а что любители покачать с торрентов совсем что ли необразованные? Все равно найдется хоть один, но слишком умный качальщик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Diamont, а что любители покачать с торрентов совсем что ли необразованные? Все равно найдется хоть один, но слишком умный качальщик.

Расчёт на большинство, а не на одного шибко умного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если тарифы все определенные, можно разбить абонентов на группы и использовать шейпер PCQ на каждого абонента, указав прямо в настройках общий лимит, там же можно задать и ограничение на связку по номеру порта, тогда абонент, запустивший торрент, сможет нормально открывать странички и использовать другие сервисы, ведь скорость будет распределяться динамически в пределах его полосы. Далее создаете глобальный шейпер, где режете опять всех абонентов по той же схеме, только общий лимит = 90 процентов от скорости канала. Тогда весь трафик абонентов будет сам резаться и выравниваться.

 

Если вы укажете лимит общей скорости = скорости канала, то схема работать не будет, т.к. входящий трафик порежет вышестоящий оператор, трафика всегда идет больше, чем потребляют клиенты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо всем что откликнулись!

 

Если тарифы все определенные, можно разбить абонентов на группы и использовать шейпер PCQ на каждого абонента, указав прямо в настройках общий лимит, там же можно задать и ограничение на связку по номеру порта, тогда абонент, запустивший торрент, сможет нормально открывать странички и использовать другие сервисы, ведь скорость будет распределяться динамически в пределах его полосы. Далее создаете глобальный шейпер, где режете опять всех абонентов по той же схеме, только общий лимит = 90 процентов от скорости канала. Тогда весь трафик абонентов будет сам резаться и выравниваться.

 

Если вы укажете лимит общей скорости = скорости канала, то схема работать не будет, т.к. входящий трафик порежет вышестоящий оператор, трафика всегда идет больше, чем потребляют клиенты.

Вот по поводу шейпера PCQ не очень понял как это на практике реализовать..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот по поводу шейпера PCQ не очень понял как это на практике реализовать..

 

Можно вот тут почитать - http://wiki.mikrotik.com/images/8/8d/QoS_Megis_%28Russian_translate_by_white_crow_rev.2%29.pdf - но там для целей приоритезации трафика в сети провайдера по несколько другой схеме, но тоже вполне рабочая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот по поводу шейпера PCQ не очень понял как это на практике реализовать..

 

Можно вот тут почитать - http://wiki.mikrotik.com/images/8/8d/QoS_Megis_%28Russian_translate_by_white_crow_rev.2%29.pdf - но там для целей приоритезации трафика в сети провайдера по несколько другой схеме, но тоже вполне рабочая.

Спасибо интересная книжка!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток.

 

Мне понятна ваша проблема, поскольку сам столкнулся. Ваша ошибке в выборе ее решения.

Никакие порты не блокируйте как выше упомянуто, совсем.

.. Попробую направить вас кратко.

В первую очередь нужно маркировать весь трафик , делает это фаервол , в разделе mangle.

сама суть работы ,

1. помечаем весь существующий трафик правилом

+ (prerouting)  - Action (mark packet) new packet mark (обзовем его up-very-low) Это весь исходящий трафик. 

+ (forward) - Action (mark packet) new packet mark (обзовем его down-very-low) весь входящий.

Пакеты летят сверху вниз, пока не повернут на первом правиле, их касающееся.

Теперь мы хотим обозначить торрент соединения , не по портам, а по адресам

При помощи последней вкладки layer7 protokol, где пишем 

+ имя bittorrent , ниже содержимое 

^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]

Этим ми сей час будем находить адреса и добавлять их в список на 30 секунд, не более минуты, иначе адресов будут десятки тысяч.

Итак идем обратно в Mangle напишем правило, которое найдет нужные адреса

+  forward  - вкладка Advancer , scr adr list  (мои серверные адреса в группе goodserver)  Значение ! goodserver  (значит все кроме адресов группы goodserver)

dst adr list  !goodboys (значит все кроме адресов абонентов)

вкладка action значение  add dst to address list  ниже имя bittorrent  и ниже время выбираем none statik и прям на него пишем 00:00:30 применить и готово

Тащим вышью это правило вверх, и видим как заработал счетчик. Идем в address list, фильтруем bittorrent, чтобы другие адреса не мешали и было видно, если туда попадет локальный адрес.

Наблюдаем за ростом списка, не советую его делать большим, у меня до 2 тысяч и все ок. 

Итак теперь есть список адресов , нужно решить что с ним делать.

 

Копируем 2 правила , маркирующие весь трафик, по очереди, ставим в конец и выключаем.

меняем значения

где  значения были битторреент убираем знак !, значит там будут только адреса торрентов. Маркируем его значением bittorrent.

Некоторые адреса не попадают в список, около 10% это не страшно.

Теперь трафик разукрашен и в нем видно где торренты.  Их можно отключить , filter  rules, дроп из списка, но по моему это глупость,

торренты не нужно отключать, им нужно сказать использовать только свободный трафик.

Написать это все у меня желания не хватит. Там много правил в mangle у меня , распределяет весь трафик на 7 приоритетов и совсем не важно какая нагрузка, все работает, тв 4к, игры летают. Страдают в основном торренты. 

Если внешний адрес белый, то вас полюбому жрут вирусы и боты и всякая нечисть.

Сердитое решение запретить input на входящую сетевуху в filter rules, у меня около 120 правил там, чтобы находить засранцев и банить пожизненно автоматом

Нужно считать все пакеты, не только входящие INPUT но и сквозные forward, количество объем одного потока и отсекать избытки. Внутри сети зараженных компов поменьше ,но есть, их не стоит недооценивать и далеко не все можно обнаружить визуально.

 Говнометы умеют обращаться к клиентам внутри сети, поломать как отдельный телефон так и отдельную игру, а ты репу чешешь- все летает скорость высока- игра лагает ! а клиент уходит.

Это отдельная тема.

На эту тему можно писать круглосуточно

 

Укажите в точности до каждой галочки вышеупомянутое, и это вас частично спасет от жестких нагибаний.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.