Jump to content
  • 0

Блокиране на peer to peer връзки с ROS 6.39


JohnTRIVOLTA

Question

JohnTRIVOLTA

Здравейте колеги,

след ъпдейт до ros 6.39 и имайки в предвид чейндж лог за версията , а именно " firewall - discontinued support for p2p matcher (old rules will become invalid);" правилото в стената на ъпдейтнатите устройства светна в червено !

Въпроса ми е може ли някой да сподели добра практика за блокиране и ефективно прихващане на този тип трафик и поне редуцирането му до определени скорости?

Поздрави

Link to post
Share on other sites

12 answers to this question

Recommended Posts

  • 0
JohnTRIVOLTA

По-скоро QoS да не ги блокирам . Искам и нещо неуспявам да прихвана ptp връзките на торент клентите и стрийм такива от AcePlayer,SopCast и подобни за да ги огранича по скорост до 2Мбит пример!

Link to post
Share on other sites
  • 0

Може и да греша но от доста време лимитирането на торентите не работеше коректно.

За L7 не съм пробвал.

Link to post
Share on other sites
  • 0
JohnTRIVOLTA

Да , не хващаше абсолюно всичко, но вършеше някаква работа! Сега търся цялостно решение за ограничаване на торенти и стриймове.

Link to post
Share on other sites
  • 0
  • Administrator
111111

Орежи всичко над порт 1024 и си готов ;)

Link to post
Share on other sites
  • 0
JohnTRIVOLTA
преди 22 минути, 111111 написа:

Орежи всичко над порт 1024 и си готов ;)

Да , мислих подобно решение, но трябва над тази стойност да изключа портове като пример за шерпойнт udp1701,4500 и други портове на определени софтуери ... 

щеше ми се само стрийм и торенти да прихващам, но и това е някакво решение!

P.S. Говоря за служебна мрежа - не съм провайдър :) 

P.P.S. Така ли е правилното решение:

1во маркирам пакетите със съответените сорс мрежа и дист. порт

2ро маркираните пакети ги вкарвам в глобално правило с лимит в queue tree ?

Edited by JohnTRIVOLTA
Link to post
Share on other sites
  • 0
  • Administrator
111111

торентите са парчета до 8 мегабайта така че не е сложно да ги изловиш 

особено ако е пуснато upnp

Link to post
Share on other sites
  • 0
master

Като е служебна мрежа защо не им пуснеш само това което им трябва?

Link to post
Share on other sites
  • 0
  • Administrator
111111
/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=576 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460 

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=398 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=748 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1430 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1448 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1466 

После по маркера или дропи или лимитирай

Link to post
Share on other sites
  • 0
JohnTRIVOLTA
преди 13 минути, 111111 написа:

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=576 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460 

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=398 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=748 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1430 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1448 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1466 

После по маркера или дропи или лимитирай

Изключенията в този рейндж в същите правила за маркиране ли да ги сложа с " ! " ? Ще обясниш ли какво означават или на какво съответстват големината на пакетите? Днес направих нещо подобно, но само с 2 подони правила:

Едно за TCP с изключение на нужните портове и такова съответно за UDP . За двата маркирани трафика заделих по 20мб/с които се делят между клиентите равномерно с приорити 7!

Link to post
Share on other sites
  • 0
  • Administrator
111111

Това са пакетните размери на стандартните комуникационни пакети в торент протокола.

Общо взето не е сложно да се блокира но е пипкаво,

има няколко похвата, като може би най-ефективен спрямо ситуацията е блокирането на анонсер заявките.

Но той става неефективен ако разрешиш на един и другите по DHT се присламчат и анонсера се прескача

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.