hm... Mozda bi pomoglo to da kazem da sam ja markirao sve p2p pakete, napravio simple queue i ogranichio brzinu i to radi lepo... Ali je problem shto ne mogu da ogranichim broj konekcija... Jedino da odem kod ortaka i da im obrishem torent programe sa kompeta.... I da im kazem da ako ukljuche torent nema neta ;)

Naravno to bi bilo glupo...

Ja sam probao da napravim neshto... Ali to nije bash radilo... Stavio sam filter rule, chain forward, tcp, all p2p, limit 10, drop... Ne radi... Out interface pppoe-out
filter rule, chain forward, tcp, p2p connection mark, limit 10, drop ... ne radi
filter rule, fw, tcp, p2p packet mark, limit 10, drop... ne radi...

Mogucje je da neko od pravila koje ja vecj imam, blokira ostalo....

I nije mi jasno bash pravilo koje dopushta tipa 10 konekcija u sekundi??? Znachi da li ono dozvoljava da svake sekunde bude 10 konekcija max... ili svake sekunde dodaje josh 10 konekcija.... recimo neka bude vezano za pppoe-out... Stavim pravilo koje limit connection 10/s, out interface pppoe-out, chain output... Koliko shvatam ovo pravilo dozvoljava max 10 konekcija u s... E sad recimo ja povuchem 10 konekcija, sekund kasnije moj ortak poviche 10 konekcija... Koliko ce da ih napusti pppoe-out??? 20 ili 10?????? (naravno ja i dalje vuchem tih 10 konekcija)

Nije mi jasno zato shto sam napravio pravilo takvog tipa jer zelim da ogranichim samo konekcije koje idu od rutera ka netu (ne zelim u lokalu jer nas za sad ima 3 a bice nas 4)...

Probao sam da stavim chain forward ali onda totalno zabode internet i nece da otvori stranu...

Inache sa tim pravilom chain output, out interface pppoe-out limit conn 20/s, action accept...
chain output, out interface pppoeout, action drop...
Sa ovim je ortak povukao 200 konekcija i ugushio internet svima... Chak i kada se diskonektovao ostalo je 10ak konekcija.... Inache internet dobija preko pppoe-in... Jer sam hteo da razdvojim lokalnu mrezu i net, jer zbog igrica u lanu ce se vezati josh par ljudi (ono chisto da pravimo turnir)...

HVALA

_{[Ovu poruku je menjao wlada_85 dana 02.03.2009. u 17:41 GMT+1]}

Znaci nema mi pomocji???? :(

probaj:

ip firewall filter add chain=forward p2p=all-p2p action=drop

Naravno da ima. Posto je p2p saobracaj tesko izolovati onda treba dakrenes logiku: daj prioritet svom saobracaju za koji znas sta je, a ono sto ne znas sta je ogranici.

Naravno da je moguce ograniciti konekcije ali preko tcp protokola, dok imas torrent klijente koji koriste udp protokol koji mikrotik ne moze da ogranici po br. konekcija... ogranicenje vazi za portove od 1025-65535 koje koriste torrent klijenti...

U Firewall-u, dodas 2 pravila:

;;;ovim pravilom dodajes opseg ip adresa korisnika koji koriste p2p:

chain=forward action=add-src-to-address-list src-address=xx.xx.xx.x-xx.xx.xx.xxx address-list=P2P_Users
chain=forward action=add-dst-to-address-list dst-address=xx.xx.xx.x-xx.xx.xx.xxx address-list=P2P_Users

;;;ovim pravilom limitiras br. odlaznih konekcija na 10 po ip adresi za portove 1025-65535

chain=forward action=drop protocol=tcp src-address-list=P2P_Users src-port=1025-65535
connection-limit=10,24
chain=forward action=drop protocol=tcp src-address-list=P2P_Users dst-port=1025-65535
connection-limit=10,24

;;;ovim pravilom limitiras br. dolaznih konekcija na 10 po ip adresi za portove od 1025 do 65535

chain=forward action=drop protocol=tcp dst-address-list=P2P_Users src-port=1025-65535
connection-limit=10,24
chain=forward action=drop protocol=tcp dst-address-list=P2P_Users dst-port=1025-65535
connection-limit=10,24

Poz, Ilija

pitanje za "ilija SA"


ovo sto si napisao

";;;ovim pravilom limitiras br. odlaznih konekcija na 10 po ip adresi za portove 1025-65535

chain=forward action=drop protocol=tcp src-address-list=P2P_Users src-port=1025-65535
connection-limit=10,24
chain=forward action=drop protocol=tcp src-address-list=P2P_Users dst-port=1025-65535
connection-limit=10,24

;;;ovim pravilom limitiras br. dolaznih konekcija na 10 po ip adresi za portove od 1025 do 65535

chain=forward action=drop protocol=tcp dst-address-list=P2P_Users src-port=1025-65535
connection-limit=10,24
chain=forward action=drop protocol=tcp dst-address-list=P2P_Users dst-port=1025-65535
connection-limit=10,24

"

jel se to onda mora unosit ip svaki posebno ili moze i broj mreze?
ako se stavlja broj mreze onda moram povecat broj konekcija?

Najbolji nacin za limitiranje p2p je da imas licencirani MT OS i da radis layer7 p2p mangle, ili da imas neku krekovanu verziju posle 3.xx.

Time bi uspeo da detektujes i p2p saobracaj koji nije po defaultu instliran u firewallu mikrotika (all-p2p).

Layer7 ce ti opterecivati MT na velikom saobracaju, ali je garantovano uspesan.
Kad uspes da manglujes sav p2p saobracaj koji te interesuje, lako ces da ogranicis 10 konekcija .

p2p layer7 hedere mozes da nadjes na google-u :)

Pozdrav,
Dejan

dada imam licencu 4.5 a mašina je serverska na supermicro ploči sa 2 intel dual core procesora i gigom rama. pa nece bit problema oko opterecivanja mikrotika

Da li postoji mogućnost da se preko MAC adrese ograniči user da zloupotrebljava radnu stanicu?
ja sam odsekao samo jedan udp port 25896 koji sa video u konekcijama i od tada vidim da ne vuče saobraćaj,
a kad on promeni port -ako je pametan- da li mogu sa preko njegove MAC adrese da ga sankcionišem?

Moze, u filter pravilima umesto IP adrese (src-address=x.x.x.x) unesi MAC adresu racunara koji hoces da filtriras (src-mac-address=xx:xx:xx:xx:xx:xx)

Isto tako ako ti se taj user zakacinje preko wirelessa mozes da ga stavis u ACCESS LISTU i da mu zabranis pristup wirelessu (no authentication, no forward).

poz

pitanje za "zivanicd" ili nekog ko zna :)




primjetio sam da unatoc zastiti chain forward allp2p action drop utorrent uredno prolazi blokadu i skida kao lud. postavio sam i sve l7 hedere da mi ubijaju torrente ali naravno nema za utorrent. trebao bi da i njega ubije posto ga vidi kao bittorrent program iz mikrotita ali nazalost on i dalje prolazi.

ima li netko od vas l7 header za utorrent i vuze? ja nemogu nigdje da iskopam na internetu

Na zhalost jedino pravo i jako pravilo, tj. skup pravila za ogranichavanje p2p je da se razmishlja na drugachiji nachin... da se propusti sve shto je poznato, a blokira sve ostalo. utorrent sa enriptovanim konekcijama se jako teshko nalazi i preko l7 headera. Jedini nachin je neshto shto radi DPI kao npr. Cisco SCE ili eventualno neki Allot ili slichno. Svi ostali pokushaji uglavnom ne daju nikakvih rezultata.

ne znam sta da kazem na to sve. glupo mi da ima napravito za sve programe cak i neke kineske koji su namjenjeni za p2p a da nema za utorrent. hm.....

Kolko sam gledao na mirkotikovom forumu, utorrent izgleda koristi tcp port 80.
Sta mozes da uradis....

Mozes da napravis transparentni proxy i da tamo propustis samo HTTP saobracaj. Tj po defaultu proxy nece da ti propusti regex iz torenta.

poz
Dejan

PS. Sto bi reko sleepless mozes da uzmes cisco ali ce to da te kosta jedno 10k evra... :)

ja vec imam podesen web proxy i u acces listi imam zabranu na torrent stranice. jel to u toj acces listi moram da napravim za propustanje http prometa?

u ip firewal filter rules ima ovo :

add chain=forward action=accept protocol=tcp dst-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp dst-port=25 comment="Allow SMTP"
add chain=forward protocol=tcp comment="allow TCP"
add chain=forward protocol=icmp comment="allow ping"
add chain=forward protocol=udp comment="allow udp"
add chain=forward action=drop comment="drop everything else"

Od juče mi je wirelles provajder nesto napravio sa konekcijama u Mikrotiku tako da mi je četiri puta smanjio brzinu u pored toga sto imam stotinak konektovanih izvora torenata brzina mi je jako opala od standardnih 100 KB/s koje sam konstantno imao. Kada mi je juce provajder ogranicio broj konekcija ta brzina je dosta opala i jako osciluje što prethodno nije bio slučaj, kada je bila konstantna i čak sa velikom brojem uključenih torenata.
Najpre se pojavio problem sa http protokolom koji nije hteo da radi u mikrotorentu se moglo konektovati svega par izvora. Nakon što sam ih nazvao rekli su mi imaš uključen veliki broj torenata preko sto konekcija i to ti onemogučava da otvaras sajtove. I onda su oni nesto uradli da vise ne mogu da postigenm toliki broj konekcija kojim bih imao maksimalnu brzinu ostali su samo izvori sa uTp konekcijom a i pored velikog njihovog broja brzina je i dalje jako niska osciluje oko 20-30 KB/s.

Od juče mi je wirelles provajder nesto napravio sa konekcijama u Mikrotiku tako da mi je četiri puta smanjio brzinu u pored toga sto imam stotinak konektovanih izvora torenata brzina mi je jako opala od standardnih 100 KB/s koje sam konstantno imao. Kada mi je juce provajder ogranicio broj konekcija ta brzina je dosta opala i jako osciluje što prethodno nije bio slučaj, kada je bila konstantna i čak sa velikom brojem uključenih torenata.
Najpre se pojavio problem sa http protokolom koji nije hteo da radi u mikrotorentu se moglo konektovati svega par izvora. Nakon što sam ih nazvao rekli su mi imaš uključen veliki broj torenata preko sto konekcija i to ti onemogućava da otvaraš sajtove. I onda su oni nesto uradli da vise ne mogu da postigenm toliki broj konekcija kojim bih imao maksimalnu brzinu ostali su samo izvori sa uTp konekcijom a i pored velikog njihovog broja brzina je i dalje jako niska osciluje oko 20-30 KB/s pa čak i manje. Inače taj podprovajder ima konekciju prema nekom provajderu a svi korisnici su u lokalnoj mreži.

Jedan od velikih problema Wireless ISP su korisnici koji nemilice vise na p2p mrezama, koji tad imaju veliki broj istovremenih konekcija i guse kompletnu mrezu.
Jedini nacin da se izbore sa zagusenjem svojih pristupnih tacaka i da omoguce da i drugi korisnici imaju kakvu-takvu korektnu uslugu je da ogranice broj istovremenih p2p konekcija.