+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Блокировать торренты и p2p-трафик — 100% работает на всех версиях.

Блокировать торренты и p2p-трафик — 100% работает на всех версиях., RouterOS

javedshotline

Guest

09.02.2012 21:40:00

Предположим, вы хотите заблокировать торрент и p2p трафик на сети 192.168.1.0/24, замените IP на нужный вам.

/ip firewall layer7-protocol> используйте winbox для копирования и вставки
name=torrentsites regexp: ^.*(get|GET).+(torrent| thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux| torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes| entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot| flixflux|seedpeer|fenopy|gpirate|commonbits).*$

/ip firewall filter>
add chain=forward src-address=192.168.1.0/24 layer7-protocol=torrentsites action=drop comment=torrentsites
add chain=forward src-address=192.168.1.0/24 protocol=17 dst-port=53 layer7-protocol=torrentsites action=drop comment=dropDNS
add chain=forward src-address=192.168.1.0/24 content=torrent action=drop comment=keyword_drop
add chain=forward src-address=192.168.1.0/24 content=tracker action=drop comment=trackers_drop
add chain=forward src-address=192.168.1.0/24 content=getpeers action=drop comment=get_peers_drop
add chain=forward src-address=192.168.1.0/24 content=info_hash action=drop comment=info_hash_drop
add chain=forward src-address=192.168.1.0/24 content=announce_peers action=drop comment=announce_peers_drop

И еще используйте дефолтное правило для блокировки p2p трафика, которое у меня в одиночку не срабатывает:
add chain=forward src-address=192.168.1.0/24 p2p=all-p2p action=drop comment=p2p_drop

Вот так. Наслаждайтесь!

ulikroessin

Guest

22.03.2012 16:28:00

Здравствуйте и спасибо за информацию. У меня вопрос: если использовать это без указания исходных адресов, будет ли это работать для всей платы, если есть 3 беспроводные клиентские карты с адресами 192.168.1.0, 192.168.2.0 и 192.168.3.0? Или мне нужно прописывать отдельные правила для каждого адреса? С уважением, Ули

Zebble

Guest

22.03.2012 16:31:00

ulikroessin, это будет зависеть от того, как ты настроишь правила файрвола, которые используют фильтр протокола layer7. Ты можешь указать конкретные адреса, а можешь не указывать — и тогда будет фильтроваться всё…

ulikroessin

Guest

22.03.2012 17:43:00

Спасибо, Zebble, но… точнее мой вопрос такой: у меня есть RB 333. Eth → модем → интернет, wlan1=192.168.1.0, wlan2=192.168.2.0, wlan3=192.168.3.0. В этих wlan подключены клиенты (hotspot/usermanager). Хочу, чтобы правила блокировки для p2p работали на всех трёх wlan. Я прописал так:

name=torrentsites
regexp: ^.*(get|GET).+(torrent| thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux| torrentz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes| entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot| flixflux|seedpeer|fenopy|gpirate|commonbits).*$

в «ip firewall layer7-protocols».

В «ip firewall filter» надо писать так:

add chain=forward src-address=192.168.1.0/24 layer7-protocol=torrentsites action=drop comment=torrentsites
add chain=forward src-address=192.168.1.0/24 protocol=17 dst-port=53 layer7-protocol=torrentsites action=drop comment=dropDNS
add chain=forward src-address=192.168.1.0/24 content=torrent action=drop comment=keyword_drop
add chain=forward src-address=192.168.1.0/24 content=tracker action=drop comment=trackers_drop
add chain=forward src-address=192.168.1.0/24 content=getpeers action=drop comment=get_peers_drop
add chain=forward src-address=192.168.1.0/24 content=info_hash action=drop comment=info_hash_drop
add chain=forward src-address=192.168.1.0/24 content=announce_peers action=drop comment=announce_peers_drop
…
add chain=forward src-address=192.168.1.0/24 p2p=all-p2p action=drop comment=p2p_drop

Но надо это писать три раза (для src-address 192.168.1.0, 192.168.2.0 и 192.168.3.0) или можно так — без указания src-address — и это будет работать для всех трёх wlan:

add chain=forward layer7-protocol=torrentsites action=drop comment=torrentsites
add chain=forward protocol=17 dst-port=53 layer7-protocol=torrentsites action=drop comment=dropDNS
add chain=forward content=torrent action=drop comment=keyword_drop
add chain=forward content=tracker action=drop comment=trackers_drop
add chain=forward content=getpeers action=drop comment=get_peers_drop
add chain=forward content=info_hash action=drop comment=info_hash_drop
add chain=forward content=announce_peers action=drop comment=announce_peers_drop
…
add chain=forward p2p=all-p2p action=drop comment=p2p_drop

Последнее (правило по умолчанию) я использую уже год, без src-address, и надеюсь, что оно работает. Но я не уверен…

С уважением, Uli

mahnet Guest	#5 0 22.03.2012 18:29:00 Кто-нибудь уже успешно пробовал?

ulikroessin

Guest

22.03.2012 20:12:00

Привет снова! Я попробовал проверить, и кажется, что работает без адресов, но, как я и писал, не уверен. Вот конфигурация:

> ip firewall filter print
Flags: X - отключено, I - недействительно, D - динамическое

0 ;;; Ограничения TCP-соединений
chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=1.......1.0/24 connection-limit=101,32

1 ;;; Ограничения TCP-соединений
chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=1.......2.0/24 connection-limit=101,32

2 ;;; Ограничения TCP-соединений
chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=1.......3.0/24 connection-limit=101,32

3 ;;; Ограничения UDP-соединений
chain=forward action=drop protocol=udp src-address=1.......1.0/24
connection-limit=71,32

4 ;;; Ограничения UDP-соединений
chain=forward action=drop protocol=udp src-address=1.......2.0/24
connection-limit=71,32

5 ;;; Ограничения UDP-соединений
chain=forward action=drop protocol=udp src-address=1.......3.0/24
connection-limit=71,32

6 ;;; Принимать установленные соединения
chain=input action=accept connection-state=established

7 ;;; Принимать связанные соединения
chain=input action=accept connection-state=related

8 ;;; Блокировать недействительные соединения
chain=input action=drop connection-state=invalid

9 ;;; UDP
chain=input action=accept protocol=udp

10 ;;; p2p
chain=forward action=drop p2p=all-p2p

11 ;;; warez
chain=forward action=drop p2p=warez

12 ;;; kazaa
chain=forward action=drop p2p=fasttrack

13 ;;; блокировать торрент-сайты
chain=forward action=drop layer7-protocol=torrent-dns

14 ;;; блокировать торрент DNS
chain=forward action=drop protocol=udp layer7-protocol=torrent-dns
dst-port=53

15 ;;; torrentsites
chain=forward action=drop layer7-protocol=torrentsites

16 ;;; keyword_drop
chain=forward action=drop content=torrent

17 ;;; trackers_drop
chain=forward action=drop content=tracker

18 ;;; get_peers_drop
chain=forward action=drop content=getpeers

19 ;;; info_hash_drop
chain=forward action=drop content=info_hash

20 ;;; announce_peers_drop
chain=forward action=drop content=announce_peers

И вот скриншот с последних часов:

battumur

Guest

23.03.2012 03:07:00

Спасибо, Zebble. Мне бы хотелось узнать, как ограничить скорость передачи данных для торрентов. Некоторые из моих пользователей хотят использовать торрент. У меня есть 30 Мб, и я хочу выделить 4 Мб именно под торренты. Пожалуйста, помоги.

Luth

Guest

24.03.2012 21:48:00

Окей, но если хочется ограничить p2p-трафик? Мне кажется, что тот, кто предоставляет интернет, не может «просматривать» трафик, который передают, но... пропускная способность стоит больших денег, так что ограничение такого трафика — это, по-моему, хорошее компромиссное решение! Так что не мог бы ты попробовать изменить предложенные решения на версию, которая ограничивает трафик, а не блокирует его? С наилучшими пожеланиями!

ericsooter

Guest

06.04.2012 19:21:00

Я считаю, что если фильтровать всё на седьмом уровне, это сильно нагрузит процессор роутера. Поэтому нужно убедиться, что у вас достаточно ресурсов для обработки, прежде чем делать это. На маленьких моделях серии 400 я обычно просто фильтрую выбранных пользователей по спискам IP-адресов. Эрик

farazhamzaa Guest	#10 0 06.07.2012 09:37:00 Да, этот способ тоже у меня работает. Но как в режиме hotspot можно разрешить нескольким клиентам использовать торрент и p2p трафик, а для всех остальных заблокировать? Это вообще возможно?

dzany

Guest

#11

18.07.2012 19:48:00

Этот regxp в протоколе layer7 у меня работает, но я настроил обход через socks5 сервер для торрентинга, и он исключён из этого правила. Я не могу себе устроить блокировку торрентов для своих пользователей. Сервер, который используется для socks5, — Dante. Пожалуйста, не применяйте это правило в плохих целях. ^(\x13bittorrent protocol|azver\x01$|get /scrape?info_hash=get /announce?info_hash=|get /client/bitcomet/|GET /data?fid=)|d1:ad2:id20:|\x08’7P)[RP]

TKITFrank Guest	#12 0 19.07.2012 03:39:00 http://forum.mikrotik.com/t/how-block-connection-of-p2p/18495/1

bysard Guest	#13 0 02.10.2013 10:45:00 Похоже, эти правила больше не работают.

battumur

Guest

#14

21.03.2012 04:22:00

andressis2k Guest	#15 0 21.03.2012 13:55:00 Перейдите в IP > Firewall > Layer7 Protocols, добавьте новый протокол и вставьте его туда. С уважением.

battumur Guest	#16 0 22.03.2012 01:11:00 Спасибо за ответ. Не могли бы вы научить меня, как добавить новый? С наилучшими пожеланиями, Баттумур.

Zebble

Guest

#17

22.03.2012 13:05:00

kennyolutola Guest	#18 0 22.03.2012 14:03:00 Спасибо за эту информацию… Всё сработало отлично…

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры