[ ip-monster @ 27.03.2017. 13:31 ] @
U firewall-u sam postavio pravilo da dropuje sav forwarding za p2p(all p2p) ali i dalje uspjesno skidam torente... Malo sam googlao ali ne pronalazim nista sto bi rijesilo ovaj problem. Imam neki wifi ciji vlasnici nisu raspolozeni za vaucerizaciju a neko non-stop skida GB-e potpuno bezobzirno :) Ako imate neko rjesenje saljite(link, bilo sta..).
[ Predrag Supurovic @ 27.03.2017. 13:45 ] @
Rešenje za p2p je inverzna logika. Dozvoliš sav saobraćaj koji želiš da prolazi a onda zabraniš sve ostalo.

[ ip-monster @ 27.03.2017. 14:04 ] @
Postavio sam sliku...jel to to?!
[ bmarkovic06 @ 27.03.2017. 15:37 ] @
Nije. Jer ne petljas o p2p uopste, nego jednostavno dozvolis sta treba da dozvolis a ostalo sve na drop. Nesto poput white liste za sajtove kad pravis.
[ gazdamitke @ 27.03.2017. 18:45 ] @
mozes da filtriras sa L7protocol-om ,ali ako torent klijenti koriste enkripciju i dalje ce prolazi torent saobracaj.

^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]
[ anon115774 @ 27.03.2017. 20:51 ] @
Skoro svi torrent klijenti danas koriste enkripciju tako da jedino sto mozes da uradis je - da odustanes ili da jednostavno ogranicis brzinu.
[ npero @ 28.03.2017. 06:35 ] @
Cisto da napomenem u novoj verziji koja ce izaci p2p opcija iz firewall je izbacena razlog hoce da blokira nekada i nesto sto ne treba a ono sto treba i ne radi, kao sto kazu ispred torrenti danas cesto koriste enkripciju.
Cim budes updetovo na 6.39 kada izadje to p2p pravilo ti postaje crveno neaktivno ;).

Kao sto ti Predrag kaze i ja tako podesavam, blokiras sve i pustis samo sto ti treba, tako u 99% slucajeva ne rade torrenti niti nista sto nisi dozvolio.
[ bmarkovic06 @ 28.03.2017. 06:56 ] @
Postoji resenje koje donekle radi ali trosi dosta cpu snage. Mora da se radi L7 sa regexp.

Jednostavno pre nego sto zabranis p2p ne dozvolis da bilo ko pronadje neki torent. Takodje mogu peerovi da se ukinu. Ali kao sto informer rece, mnogi torent klijenti danas enkriptuju pa cak i maskiraju p2p kao http saobracaj, tako da ti tu nista puno ne pomaze.


Resenje protiv P2P je pokusati sa L7 ako imas dovoljno jak RB (tako ces oterati i preko 70% usera), zatim uraditi ogranicenje brzine za svakog klijenta (dati mu max brzinu nekih minut i to mu je dovoljno za bilo kakav surf, a posle minut bursta mu svuci brzinu na 1mbps pa nek vuce sta hoce). E sad u kombinaciji sa burstom moze da se uradi i malo pametniji queue gde moze da se pohvata saobracaj kada se skidaju odredjene ekstenzije tipa .docx, .pdf itd pa da to ne ulazi u gore navedeno pravilo jer mozda neko zeli skinuti poveci PDF, DOC ili nesto slicno, sta znam....


Ima jako puno opcija koje mogu da se primene. Sve zavisi gde sve to postavljas. Da li je firma u pitanju, ili neki ugostiteljski objekat ili nesto trece. Ako je npr hotel ili restoran, zabole te za brzinu kod klijenta. Bolje mu omoguci 1mbps da ima da mu radi nego sad tu neke brzine. Sa 1mbps ima sve da mu radi bez problema.
[ Mile-Lile @ 28.03.2017. 07:53 ] @
to, sa inverznom logikom mi se ne sviđa, iz prostog razloga što p2p klijenti imaju i opciju "http/https seed"...
morao bi nekako da radi i deep packet inspection na 80/443 kako torenti ne bi prošli...

nekog konačnog rešenja nema... ovi npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) što zaobilazi skoro svaku restrikciju...
možda ntop na nekom Linux boxu ali ovde je tema kako blokirati p2p na RouterBOARD 962...

još jedno rešenje koje se koristi je DNS Proxy... napraviti pravilo da za svaki upit koji dolazi na port 53 firewall radi DNAT ka OpenDNS serveru (ovim se onemogući menjanje DNS servera od strane klijenta)...

Code:
/ip firewall nat 
add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=udp dst-port=53


Na OpenDNS-u se odradi "content filtering" za p2p saobraćaj...





Ako je dinamička WAN IP, podesi se na Mikrotiku DNS-O-MATIC skripta ... OpenDNS baza se svakodnevno osvežava od strane admina a predloge daje zajednica koja je ogromna... 99,99% neće proći torenti... Norton Connect Safe i Yandex su nekada takođe imali besplatne DNS-ove koji su radili DNS Proxy filtering... e sad, sve se može zaobići ali eto...


[Ovu poruku je menjao Mile-Lile dana 28.03.2017. u 09:58 GMT+1]
[ dragansar @ 28.03.2017. 08:27 ] @
Mimo svega ti svakako blokiraj po source adresi dobro poznate sajtove za pretragu torenta, ako neka djeca skidaju vjerovatno ce ih u velikoj mjeri onemoguciti :)
[ anon115774 @ 28.03.2017. 08:50 ] @
Citat:
Mile-Lile:npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) koji moraš dozvoliti zbog DNS-a


Ne moras. Dozvolis input i output ali ne i forward.
[ anon115774 @ 28.03.2017. 08:55 ] @
Citat:
dragansar:
Mimo svega ti svakako blokiraj po source adresi dobro poznate sajtove za pretragu torenta, ako neka djeca skidaju vjerovatno ce ih u velikoj mjeri onemoguciti :)


I dobro poznate sajtove za otvaranje sajtova u frame-u kao i dobro poznate vpn servise, kao i dobro poznate arhiver sajtove, kao i dobro poznate load balancere svih tih napred navedenih servisa i sve sto je iza load balancera... a treba i mail koji korisnici primaju da skeniras jer im mozda neko posalje .torrent fajl mailom...

U prevodu - uzaludan posao. Uvek se moze zaobici sve sto napravis. Jedino resenje koje sam video a da zaista radi je proxy. Ali za to ti, u zavisnosti od broja korisnika, treba dobar cpu. Ili da postavis poseban uredjaj koji ce tim da se bavi.
[ Mile-Lile @ 28.03.2017. 09:09 ] @
Citat:
Informer:
Citat:
Mile-Lile:npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) koji moraš dozvoliti zbog DNS-a


Ne moras. Dozvolis input i output ali ne i forward.

onda ja tu nešto ne razumem, za šta koji "chain" služi...
INPUT na portu 53 mi je po difoltu blokiran jer ne služim javni DNS... OUTPUT takođe jer nemam lokalni DNS niti cache server... FORWARD moram da dozvolim 53 (DNS) i 68 (DHCP) minimum... sad si me zbunio... ti verovatno pričaš o posebnom VLAN-u koji je NAT-ovan?
[ npero @ 28.03.2017. 09:19 ] @
Blokira foward port 53 da bi onemogucio klijentima koji prolaze kroz ruter da koriste drugi DNS server, ili neki tuneling preko porta 53, a svakako verovatno koristi lokalni DNS ili DNS na Mikrotiku.
Ne spominje nigde VLAN sasvim logicno resenje da natera klijente na ne diraju DNS posto mi nece raditi :).
[ anon115774 @ 28.03.2017. 09:26 ] @
Citat:
Mile-Lile:
Citat:
Informer:
Citat:
Mile-Lile:npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) koji moraš dozvoliti zbog DNS-a


Ne moras. Dozvolis input i output ali ne i forward.

onda ja tu nešto ne razumem, za šta koji "chain" služi...


input su svi paketi koji ulaze na uredjaj (dst adresa jedna od adresa na uredjaju)
output su svi paketi koji izlaze sa uredjaja (src adresa neka od adresa na uredjaju)
forward je sve sto samo prolazi (znaci ni src ni dst nisu na uredjaju)

Citat:
INPUT na portu 53 mi je po difoltu blokiran jer ne služim javni DNS... OUTPUT takođe jer nemam lokalni DNS niti cache server... FORWARD moram da dozvolim 53 (DNS) i 68 (DHCP) minimum... sad si me zbunio... ti verovatno pričaš o posebnom VLAN-u koji je NAT-ovan?


Nisam spominjao NAT. Upravo ovo sto je npero rekao.

Dakle, input je dozvoljen sa lokalnih portova na tcp/udp 53. Forward tcp/udp 53 nije dozvoljen. Output je dozvoljen svuda. Na taj nacin korisnik mora da koristi moj lokalni dns ili moze da se slika.

A ovo sto si pustio forward udp 68 je potpuno nepotrebno (a i dhcp ne funkcionise van kolizionog domena) a moze da bude i opasno.


[Ovu poruku je menjao Informer dana 28.03.2017. u 10:38 GMT+1]
[ Mile-Lile @ 28.03.2017. 09:33 ] @
Hvala...
Mislio sam da je ovo elegantnije:

Code:
/ip firewall nat 
add chain=dstnat in-interface=LAN protocol=tcp dst-port=53 action=redirect
add chain=dstnat in-interface=LAN protocol=udp dst-port=53 action=redirect


korisnik može da promeni DNS server ali će dns rezoluciju ipak da radi Mikrotik...
Ima Androida koji koriste svoje DNS-ove a i korisnici nekad promene na 8.8.8.8 pa zaborave gde se to podešava...
[ anon115774 @ 28.03.2017. 09:37 ] @
Sve zavisi kako gledas. Ja vise volim da dobije gresku odnosno da mu bude jasno da je "no-no" nego da ga dovedem u zabludu :)
[ dragansar @ 28.03.2017. 10:12 ] @
Citat:
Informer:
Citat:
dragansar:
Mimo svega ti svakako blokiraj po source adresi dobro poznate sajtove za pretragu torenta, ako neka djeca skidaju vjerovatno ce ih u velikoj mjeri onemoguciti :)


I dobro poznate sajtove za otvaranje sajtova u frame-u kao i dobro poznate vpn servise, kao i dobro poznate arhiver sajtove, kao i dobro poznate load balancere svih tih napred navedenih servisa i sve sto je iza load balancera... a treba i mail koji korisnici primaju da skeniras jer im mozda neko posalje .torrent fajl mailom...

U prevodu - uzaludan posao. Uvek se moze zaobici sve sto napravis. Jedino resenje koje sam video a da zaista radi je proxy. Ali za to ti, u zavisnosti od broja korisnika, treba dobar cpu. Ili da postavis poseban uredjaj koji ce tim da se bavi.


@Informer
naglasih djeca ;)
[ anon115774 @ 28.03.2017. 11:54 ] @
Nisu ni deca vise ono sto su nekad bila :D
[ mika_vk @ 28.03.2017. 13:45 ] @
Ja sam to sredio tako da sam rekao da torrentata ima samo od 00:00 - 07:00.
U ostalom periodu tko proba skidati, blokiram mu sav internet promet na pola sata.
znaci L7 kad otkrije p2p, puca njegovu adresu na blok listu pola sata... i onda svi paketi sa blok liste su dropani.. Cak ti netreba ni L7, doboljno je da mikrotik otkrije jedan paket p2p i bloka mu net.
[ ip-monster @ 28.03.2017. 14:57 ] @
Je li ti crno da mi das inpute sta da setujem na svom mt-u?! ako nije problem daj cijelu proceduru a ako imas neki link na kome je procedura daj njega... Hvala unaprijed!
[ anon115774 @ 28.03.2017. 17:36 ] @
Moze jedna mala digresija? :)

A koji je razlog za blokiranje torrenta? Mislim, kakav to specifican problem izaziva trcanje torrenta kroz mrezu koji se ne javlja kod ostalog saobracaja?
[ mika_vk @ 29.03.2017. 07:02 ] @
u Mangle
add action=add-src-to-address-list address-list=torr address-list-timeout=1h chain=prerouting p2p=all-p2p time=7h0m-23h59m,mon,tue,wed,thu,fri,sat
a u filter
add action=drop chain=forward src-address-list=torr
to ti je da mikrotik otkriva p2p i nemas puno zezancije a ucinkovito je, ne opterecuje router i to je to

drugi nacin ako hoces bas ono da ih isprebijas, odes u L7 i tamo dodas L7 filtere. da ime torrent i sad onaj regexp nadji na netu neki koji ti se cini ok..
u mangle onda ide ovo pravilo
add action=add-src-to-address-list address-list=torr address-list-timeout=1h chain=prerouting layer7-protocol=torrent time=7h0m-23h59m,mon,tue,wed,thu,fri,sat

Najcesce ti dragi korisnici neznaju dali imaju torrent client, ni sto je to, mora da je mali instalirao, bla bla... uglavnom kad shvate da nemaju net sat vremena jer im se sa windowsima dize utorrent client, odma nauce i obrisati klijente i vise se ne glupiraju sa skidanjem...
[ Mile-Lile @ 29.03.2017. 07:21 ] @
zato ja ne idem u Kroaciju na more:) Pa Popcorn Time koristi p2p...
Odradi se lepo QoS pa se da prioritet VOIP-u i surferima a ne tako... onda mi je Hotspot poštenije rešenje... daš internet na 15 minuta i ćao...
Hotel sa 50 gostiju može da ima link od 20Mbps i da to radi sasvim solidno... a valjda može da priušti 20Mbps...
[ mika_vk @ 29.03.2017. 08:24 ] @
MOJE mišljenje je da ovaj dio sa QoS radi samo u teoriji kad imas do 5 korisnika... Problem je sto mnogi paketi od torrenata nisu oznaceni kao torrent. I on 90% paketa nezna sto su oni, ili ih i krivo oznaci... Davno sam pokusavao na taj nacin ogranicit torrente, i znam da mi bas i nije islo od ruke, da mi je svjedno "klao" router... Ovo mi je bilo najjednostavnije i najucinkovitije...
A i da se napravi QoS sto ti kazes, mislim i dalje da ti popcorn nece raditi najbolje. Mikrotik ga vidi kao P2P, a svemu sto ima oznaku P2P daje najnizi prioritet. Problem je u milijardu konekcija koju radi p2p. opet dodjes na isto, a router bude "zaklan". Vidi, to sam radio dok sam jos imao mrezu na 2,4 GHz, sad kad sam sve digao na 5GHz, nisam se igrao sa QoS, jer sve radi kao pracka...Ovo o Popcornu pricam teoretski, jer ga nikad nisam koristio, a za sada nemam problema s njime, jer svi korisnici mi koriste kodi.tv.

NHF to je samo moje misljenje....

PS. E da i ako ces ti bojkotirati nase more, i ja od nagodinu krecem sa bojkotom Kopaonika... pa ti gledaj :P

[Ovu poruku je menjao mika_vk dana 29.03.2017. u 10:24 GMT+1]
[ Mile-Lile @ 29.03.2017. 10:00 ] @
ja izgleda uvek sve vidim naopako... mislim to vezano za QoS... za 5 korisnika ga ne bih ni postavljao neće svi da torentišu i ne u isto vreme...
za 10-ak i više mi ima smisla...
ovo za more je bila šala... volim ja Makarsku i hrvatsku kuhinju...
mada nekako Grčka i soc varijanta je razumljiviji izbor za radničku klasu iz Srbije...
[ flighter_022 @ 29.03.2017. 10:13 ] @
Ja sam bio u slicnoj situaciji. Do sredine 2011. godione vodio IT deo u firmi i, posebno, hotelu. Za sve to (i firma i hotel) satelitski link 1024mbit/256 kbit link. Nije toliko problem na 50 mbit doteratistvari u red, i ako nesto nije optimalno, ostali to ni ne osete. ali na 50 puta manje od toga, i sa pingom od 100ms pa do 2 sekunde, i te kako se osete stvari. Kako je glavni server bio, za ono vreme, prilicno jak, koristio sam kombinaciju Mikrotik-a i Kerio Winroute firewall-a. Mikrotik se brinuo o rutiranju izmedju hotelskih gostiju, kancelarija, servera, centrale firme i interneta, kao i o hotspot-u, a Kerio se brinuo o tome sta preko Mikrotik-a uopste moze da ide na net ili sa neta. Tu sam dalje na osnovu URL-a postavljao ogranicenja, redirekcije, max. broj konekcija po korisniku, i slicne stvari. Sam softver je prilicno jednostavan za upotrebu.