+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как заблокировать зашифрованный p2p?

Как заблокировать зашифрованный p2p?, RouterOS

BeNBeN

Guest

10.12.2009 05:53:00

Я прочитал статьи про p2p, и там пишут, что можно ограничить или заблокировать все p2p-соединения, кроме зашифрованных. В моей сети 1200 человек, и полосы пропускания не хватает для всех, когда некоторые из них скачивают файлы через торренты. Я заблокировал rapidshare и всё остальное p2p, но они нашли способ шифрования, и я не могу их заблокировать. Так что бы ты сделал, если бы был на моем месте? Спасибо заранее.

Muqatil

Guest

08.03.2010 14:02:00

Потому что эти устройства поставляются с готовыми правилами, которые распознают трафик. Дешёвые сетевые администраторы просто подключают их к своим сетям, и всё работает. В routerOS нужно разбираться в фаерволах и пакетах. Я в порядке с ROS.

bakula Guest	#3 0 08.03.2010 14:07:00 Новый протокол в версии 2.0 http://torrentfreak.com/utorrent-2-0-to-elimininate-the-need-for-isp-throttling-091031/ http://forum.utorrent.com/viewtopic.php?id=65482 http://www.utorrent.com/documentation/utp

kameelperdza

Guest

30.12.2009 14:32:00

Что я сделал, чтобы полностью заблокировать p2p, это поставил между Mikrotik и интернетом файрвол (ipcop). Установил аддон, с помощью которого могу администрировать и контролировать порты. Если ты найдешь способ разрешить только необходимые порты на своем Mikrotik RB, это тоже поможет. Я разрешаю только порты 80, 25 и 110. P2p работать не будет, потому что порты заблокированы.

butche

Guest

31.12.2009 16:55:00

Этот «добав» уже есть в Mikrotik. Не уверен, зачем тебе понадобилось добавлять ещё одно устройство. Если сможешь настроить Mikrotik RB так, чтобы пропускать только нужные порты, это бы помогло. Я сейчас пропускаю только порты 80, 25 и 110. P2P работать не будет, потому что порты заблокированы. А «если сможешь найти способ…» – это очень просто. Вот пример, который будет пропускать только порт 80/TCP и 53/UDP:
/ip firewall filter
add chain=forward connection-state=established action=accept
add chain=forward connection-state=related action=accept
add chain=forward src-address=192.168.0.0/16 protocol=tcp dst-port=80 action=accept
add chain=forward src-address=192.168.0.0/16 protocol=udp dst-port=53 action=accept
add chain=forward action=drop

andreacoppini

Guest

02.01.2010 17:56:00

Обычно я реализую систему, похожую на систему Butch’s, работающую полностью на MikroTik. Я использую L7 фильтр для сопоставления всего "валидного" трафика, затем использую простые FIFO очереди для приоритизации этого валидного трафика, и устанавливаю жесткий лимит пропускной способности на несовпадающий трафик (который в основном состоит из p2p трафика). Смотри http://wiki.mikrotik.com/wiki/Basic_traffic_shaping_based_on_layer-7_protocols. Все это содержится внутри самого роутера MikroTik, никаких внешних устройств не нужно. Практически не требует обслуживания, так как стандартные протоколы (DNS, HTTP, FTP) редко меняют структуру, и именно их я и сопоставляю. Нужен довольно мощный роутер, но обычно я реализую это на стороне upstream, где у меня в любом случае есть как минимум RB1000 или P4. CPU никогда не превышает 10%. В одной особенно проблемной среде — отеле с примерно 500 номерами с бесплатным проводным Ethernet доступом в каждом номере — мне удалось снизить задержку upstream с 900-1500мс до стабильных 9мс.

rmichael

Guest

02.01.2010 18:21:00

Начал использовать классификатор скорости соединения (>ROSv3.30) для разделения пакетного трафика и интерактивного. Работает довольно неплохо, но контролировать трафик скачивания сложно, если вообще возможно. Мне кажется, было бы здорово иметь возможность манипулировать TCP window scaling, как мы манипулируем MSS. Я сейчас думаю о возможности менять размер MSS для пакетного трафика во время загрузки, чтобы снизить задержку downlink для интерактивного трафика. С уважением, Michael.

andreacoppini

Guest

02.01.2010 18:30:00

Как думаете, сможет ли классификатор скорости соединения работать с P2P трафиком? P2P транзакции обычно короткие и кратковременные, единственным общим параметром является src-IP (клиент, запускающий P2P-программное обеспечение). P2P буквально “поглощает” полосу пропускания, потому что ведет себя как скачивание огромной и распределённой веб-страницы. Мне казалось, что классификатор скорости соединения работает только с крупными HTTP/FTP-передачами, поскольку они, как правило, это статические соединения с большим объемом трафика, проходящим через одно соединение.

rmichael

Guest

02.01.2010 18:46:00

Единственный общий параметр — src-IP (клиент, запускающий P2P-софт). Вот где PCQ приходит на помощь. Настрой PCQ для идентификации трафика по src-IP, и P2P-клиенту будет выделена лишь часть полосы пропускания. В моём подходе я не ограничиваю трафик, а лишь не даю одному клиенту подавлять остальных, чтобы выделить больше полосы для веб-серфинга, стриминга музыки, VoIP. Если в сети только P2P, я не против, если оно займет всю полосу пропускания. Скажу вам по секрету, я ещё думаю над написанием скрипта классификатора, который будет учитывать общий трафик по каждому клиенту, чтобы шейпинг был более честным… Майкл, отредактировано для ясности.

derr12

Guest

#10

02.03.2010 19:48:00

Мы купили метод фильтрации от Butch'а, и пока что кажется, что работает довольно хорошо. Один Mikrotik RB450G с 40-50 PPPoE пользователями никогда не загружается больше чем на 35%, когда AP нагружен по максимуму (около 3 мбит). У нас есть несколько десятков сайтов, похожих на этот, работающих по той же схеме с отличными результатами. У меня также есть правило делать TCP reset при 61 подключении на пользователя. Не уверен, как это будет работать в не распределённой сети, где только один Mikrotik. Представлю, что для многих пользователей с большим потреблением трафика потребуется очень мощный роутер.

BeNBeN

Guest

#11

06.03.2010 11:08:00

Мы ещё купили машинку, которая умеет распознавать и блокировать или ограничивать зашифрованный p2p трафик, и она работает идеально. Она ещё и кучу всего умеет, но это не по теме. Работает она между интернетом и Mikrotik. Моя проблема решена.

kameelperdza Guest	#12 0 07.03.2010 10:23:00 И как же этого аппарата-то зовут?

BeNBeN

Guest

#13

08.03.2010 08:30:00

Его зовут “ipoque”. Это продукт немецкой компании. Работает как мост и может ограничивать или блокировать всё по каждому подписчику. Например, у меня много людей играют в World of Warcraft, и я приоритизировал пакеты WoW, чтобы они могли играть очень хорошо, даже когда интернет используется на полную.

kameelperdza Guest	#14 0 08.03.2010 08:37:00 Попробуй ipcop. www.ipcop.org. Это бесплатно и делает то же самое. Если нужно, можно добавить еще что-нибудь.

normis Guest	#15 0 08.03.2010 08:39:00 Я вообще не понимаю, как RouterOS не может блокировать зашифрованный P2P? Он же делает то же самое, зачем тогда ставить ещё одну машину для этого?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры