Block torrents

[galotzas]

Καλησπερα.

Ειμαι σε RouterOS 6.41 και εχω το 941-2nD.
Η ερωτηση μου ειναι πως μπορω να κοψω εντελως το p2p σε μια τοπικη ip στο δικτυο μου(layer7/port-range?) η εστω να περιορισω το traffic σε χαμηλα επιπεδα.(queues?). Δοκιμασα διαφορους οδηγους που βρηκα αλλα δεν καταφερα τπτ.



το config μου σε περιπτωση που χρειαστει

/ip pool
add name=default-dhcp ranges=192.168.88.150-192.168.88.200


/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge lease-time=1d name=defconf

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0

/ip cloud
set update-time=no

/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.99 gateway=192.168.88.1 netmask=24

/ip dns
set cache-max-ttl=1h servers=195.167.55.103

/ip dns static
add address=192.168.88.1 name=router.lan
add address=127.0.0.1 name=localhost

/ip firewall address-list
add address=192.168.88.254 list=support
add address=192.168.88.1 list=Routers

/ip neighbor discovery-settings
set discover-interface-list=!WAN

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24
set ssh address=192.168.88.0/24
set api disabled=yes
set api-ssl disabled=yes

[galotzas]

Ας το θεσω αλλιως. Με ποιο τροπο μπορω να κοψω προσβαση σε ΟΛΟ το δικτυο σε p2p.

[galotzas]

Ας το θεσω αλλιως. Με ποιο τροπο μπορω να κοψω προσβαση σε ΟΛΟ το δικτυο σε p2p.

Και απανταω μονος μου σε περιπτωση που καποιος χρειαστει

Κώδικας:

/ip firewall layer7-protocol
add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bitt\
    orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\
    o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[\
    RP]"

/ip firewall filter
add action=add-src-to-address-list address-list=Torrent-Conn \
    address-list-timeout=2m chain=forward layer7-protocol=\
    layer7-bittorrent-exp src-address=192.168.2.0/24 src-address-list=\
    !allow-bit
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \
    src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \
    src-address-list=Torrent-Conn

Mikrotik Version 6.41και μετα

[sdikr]

Ευχαριστούμε
Το δοκίμασες και τα μπλοκάρει;

[galotzas]

Ναι δοκιμασμενο γιατι εβαλα κι αλλα και δεν ηταν αποτελεσματικα. Αυτο σκοτωνει με transmission που το δοκιμασα. 0 peers

[deniSun]

Δεν μπορείς να κόψεις 100% τα torrents ούτε να τα περιορίσεις.
Σε ένα πολύ μεγάλο ποσοστό μπορείς να το κάνεις είτε σε επίπεδο fw (αν θέλεις να τα κόψεις τελείως), είτε σε επίπεδο qos (αν θέλεις να τα περιορίσεις) με έναν κανόνα όπου θα κόβεις στο any port τις πόρτες:
3000,6881-7000,9091,10000-65535
Εγώ για να δώσω την χαμηλότερη προτεραιότητα στα torrent έχω την παρακάτω δήλωση:

Κώδικας:

add action=mark-connection chain=postrouting comment="_______QoS_B8 Torrents" \
		connection-state=new new-connection-mark=QoS_B8 out-interface=all-ppp \
		passthrough=yes port=3000,6881-7000,9091,10000-65535 protocol=tcp
	add action=mark-connection chain=postrouting connection-state=new \
		new-connection-mark=QoS_B8 out-interface=all-ppp passthrough=yes port=\
		3000,6881-7000,9091,10000-65535 protocol=udp
	add action=mark-packet chain=prerouting connection-mark=QoS_B8 in-interface=\
		all-ppp new-packet-mark=QoS_B8-DW passthrough=no
	add action=mark-packet chain=postrouting connection-mark=QoS_B8 \
		new-packet-mark=QoS_B8-UP out-interface=all-ppp passthrough=no

[galotzas]

Δεν μπορείς να κόψεις 100% τα torrents ούτε να τα περιορίσεις.
Σε ένα πολύ μεγάλο ποσοστό μπορείς να το κάνεις είτε σε επίπεδο fw (αν θέλεις να τα κόψεις τελείως), είτε σε επίπεδο qos (αν θέλεις να τα περιορίσεις) με έναν κανόνα όπου θα κόβεις στο any port τις πόρτες:
3000,6881-7000,9091,10000-65535
Εγώ για να δώσω την χαμηλότερη προτεραιότητα στα torrent έχω την παρακάτω δήλωση:

Κώδικας:

add action=mark-connection chain=postrouting comment="_______QoS_B8 Torrents" \
		connection-state=new new-connection-mark=QoS_B8 out-interface=all-ppp \
		passthrough=yes port=3000,6881-7000,9091,10000-65535 protocol=tcp
	add action=mark-connection chain=postrouting connection-state=new \
		new-connection-mark=QoS_B8 out-interface=all-ppp passthrough=yes port=\
		3000,6881-7000,9091,10000-65535 protocol=udp
	add action=mark-packet chain=prerouting connection-mark=QoS_B8 in-interface=\
		all-ppp new-packet-mark=QoS_B8-DW passthrough=no
	add action=mark-packet chain=postrouting connection-mark=QoS_B8 \
		new-packet-mark=QoS_B8-UP out-interface=all-ppp passthrough=no

Εγω παντως το δοκιμασα και χτες και σημερα και δουλευει 100%. Οταν κανω disable τα rules ξεκινανε τα torrents κανονικα και μολις κανω τους κανονες enable αρχιζουν και λιποθυμουν. Μεσα σε 1-2 λεπτα 0 peers. Παντως ειναι πολυ χρησιμο και αυτο που τα περιοριζει .

[deniSun]

Εγω παντως το δοκιμασα και χτες και σημερα και δουλευει 100%. Οταν κανω disable τα rules ξεκινανε τα torrents κανονικα και μολις κανω τους κανονες enable αρχιζουν και λιποθυμουν. Μεσα σε 1-2 λεπτα 0 peers. Παντως ειναι πολυ χρησιμο και αυτο που τα περιοριζει .

Αν μιλάς για το τελευταίο σου ποστ να σου πω ότι τις λύσεις με L7 δεν τις χρησιμοποιούμε πλέον.
Ή καλύτερα δεν θα έπρεπε να τις χρησιμοποιούμε.
Πρακτικά μπορεί να σε δουλεύει αλλά σίγουρα δεν πιάνεις όλες τις περιπτώσεις σε ν4.
Σε ν6... είναι παντελώς άχρηστο μιας και δεν χρησιμοποιεί L7.
Οπότε σε μελλοντική χρήση θα σου είναι άχρηστο.
Όπως επίσης και αν κάποιος κατεβάζει από κάποιον με ν6.
Πρότασή μου... να χρησιμοποιείς ποιο global υλοποιήσεις που δεν έχουν τέτοιες δεσμεύσεις.
Ανεξάρτητα με το αν παίζεις με ν6 ή όχι.

[sdikr]

Ο κανόνας στο firewall όμως επηρεάζει ότι μπορεί να υπάρχει σε εκείνες τις πόρτες και όχι απαραίτητα p2p, σε γενικές γραμμές αν παίζουμε με τα κλασικά 25,53,80,443,110 δεν υπάρχει πρόβλημα, δεν είναι όμως έτσι αρκετές φόρες

[deniSun]

Ο κανόνας στο firewall όμως επηρεάζει ότι μπορεί να υπάρχει σε εκείνες τις πόρτες και όχι απαραίτητα p2p, σε γενικές γραμμές αν παίζουμε με τα κλασικά 25,53,80,443,110 δεν υπάρχει πρόβλημα, δεν είναι όμως έτσι αρκετές φόρες

Το πρόβλημα με το παραπάνω range είναι με εφαρμογές που δεν παίζουν σε συγκεκριμένα ports αλλά όπου κάτσει.
Κλασικό παράδειγμα η ηλιθιότητα της m$ με το skype όπου παίζει όπου κάτσει ότι κάτσει.
Σε αυτή την περίπτωση πολύ πιθανό να σου το πιάσει μαζί με τα torrents.
Επίσης...
Στα mangles υπάρχει, αν θυμάμαι καλά, επιλογή για p2p κίνηση, αλλά δεν το είδα ποτέ να δουλεύει.
Τουλάχιστον όχι σωστά.
Επίσης...
Ισχύει αυτό που λες για τις παραπάνω πόρτες.
Αλλά μιλάμε για ΗΥ που μπορείς να εσύ να τις ελέγξεις ορίζοντας τις πόρτες στον torrent client.
πχ αν σου κάτσει ξέμπαρκα μια συσκευή που ορίζει τον torrent client να ακούει στην 80 ή 8080, δεν θα το πιάσεις ποτέ.

Γι αυτό έγραψα ότι δεν είναι ποτέ να την πιάσεις όλη την κίνηση 100%.
Και αυτό συμβαίνει όχι μόνο με τα torrents αλλά και με άλλες εφαρμογές.
Σκοπός λοιπόν είναι να πιάσεις ένα μεγάλο ποσοστό.
Όσο το δυνατόν μεγαλύτερο.
Απώλειες... πάντα θα έχεις.