Jump to content
  • 0

Блокиране на peer to peer връзки с ROS 6.39


JohnTRIVOLTA

Question

  • Administrator

Здравейте колеги,

след ъпдейт до ros 6.39 и имайки в предвид чейндж лог за версията , а именно " firewall - discontinued support for p2p matcher (old rules will become invalid);" правилото в стената на ъпдейтнатите устройства светна в червено !

Въпроса ми е може ли някой да сподели добра практика за блокиране и ефективно прихващане на този тип трафик и поне редуцирането му до определени скорости?

Поздрави

Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 0
  • Administrator

L7

или QoS

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator

По-скоро QoS да не ги блокирам . Искам и нещо неуспявам да прихвана ptp връзките на торент клентите и стрийм такива от AcePlayer,SopCast и подобни за да ги огранича по скорост до 2Мбит пример!

Link to comment
Share on other sites

  • 0

Може и да греша но от доста време лимитирането на торентите не работеше коректно.

За L7 не съм пробвал.

Analog Audio™

Link to comment
Share on other sites

  • 0
  • Administrator

Да , не хващаше абсолюно всичко, но вършеше някаква работа! Сега търся цялостно решение за ограничаване на торенти и стриймове.

Link to comment
Share on other sites

  • 0
  • Administrator

Орежи всичко над порт 1024 и си готов ;)

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator
преди 22 минути, 111111 написа:

Орежи всичко над порт 1024 и си готов ;)

Да , мислих подобно решение, но трябва над тази стойност да изключа портове като пример за шерпойнт udp1701,4500 и други портове на определени софтуери ... 

щеше ми се само стрийм и торенти да прихващам, но и това е някакво решение!

P.S. Говоря за служебна мрежа - не съм провайдър :) 

P.P.S. Така ли е правилното решение:

1во маркирам пакетите със съответените сорс мрежа и дист. порт

2ро маркираните пакети ги вкарвам в глобално правило с лимит в queue tree ?

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0
  • Administrator

торентите са парчета до 8 мегабайта така че не е сложно да ги изловиш 

особено ако е пуснато upnp

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Като е служебна мрежа защо не им пуснеш само това което им трябва?

Analog Audio™

Link to comment
Share on other sites

  • 0
  • Administrator
/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=576 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460 

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=398 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=748 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1430 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1448 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1466 

После по маркера или дропи или лимитирай

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator
преди 13 минути, 111111 написа:

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=576 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460 

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=398 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=748 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1430 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1448 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1466 

После по маркера или дропи или лимитирай

Изключенията в този рейндж в същите правила за маркиране ли да ги сложа с " ! " ? Ще обясниш ли какво означават или на какво съответстват големината на пакетите? Днес направих нещо подобно, но само с 2 подони правила:

Едно за TCP с изключение на нужните портове и такова съответно за UDP . За двата маркирани трафика заделих по 20мб/с които се делят между клиентите равномерно с приорити 7!

Link to comment
Share on other sites

  • 0
  • Administrator

Това са пакетните размери на стандартните комуникационни пакети в торент протокола.

Общо взето не е сложно да се блокира но е пипкаво,

има няколко похвата, като може би най-ефективен спрямо ситуацията е блокирането на анонсер заявките.

Но той става неефективен ако разрешиш на един и другите по DHT се присламчат и анонсера се прескача

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.