Блокировка сайтов и торрент-трафика на Mikrotik 951Ui 2HnD

Ты правильно добрался?

Привет! Вот конфигурация, которая у меня работает, проверена на rb750gr3, rb3011UiAS, rb951g-2hnd. Не могу точно вспомнить, откуда я её взял, скорее всего с этого форума или из внешней ссылки в одном из постов. Она блокирует скачивание .torrent-файлов из браузера, а также сидирование и скачивание внутри торрент-клиентов (uTorrent, Vuze и т.п.).

1. Создаём таблицу layer7 с регулярными выражениями для bittorrent:
/ip firewall layer7-protocol
add comment="Block Bit Torrent - tabela regex" name=layer7-bittorrent-exp regexp=\
   "^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

2. Добавляем "нарушителя" в список с таймаутом 5 минут:
/ip firewall filter
add action=add-src-to-address-list address-list=Torrent-Conn address-list-timeout=5m chain=forward comment="Block torrent trafic" layer7-protocol=layer7-bittorrent-exp \
   log-prefix=torr-conn src-address={lan_network_range} src-address-list=!allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn address-list-timeout=5m chain=forward comment="Block p2p" log-prefix=torr-conn p2p=all-p2p src-address={lan_network_range} \
   src-address-list=!allow-bit

где src-address={lan_network_range} — это диапазон вашей локальной сети (например, 192.168.0.0/24).

Заблокированные IP можно посмотреть командой:
/ip firewall address-list print

3. Блокируем трафик на нестандартные порты (часть из них) для IP из списка Torrent-Conn:
/ip firewall filter
add action=drop chain=forward dst-port=!0-1024,3389,5222,5800,5900,8291,14147,59905 protocol=tcp \
   src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=!0-1024,3389,5222,5800,5900,8291,14147,59905 protocol=udp \
   src-address-list=Torrent-Conn
add action=drop chain=forward out-interface={local-lan-interface} content="\r\nContent-Type: application/x-bittorrent" protocol=tcp src-port=80 comment=".torrent \r\nContent-Type...."

где out-interface={local-lan-interface} — это ваш локальный LAN-интерфейс (например, ether2 или bridge1). Например, если на rb951g-2hnd у вас ether2 (мастер) и wlan объединены в мост под названием bridge1, то out-interface — это bridge1.

4. Помечаем пакеты с торрент-трафиком:
/ip firewall mangle
add action=mark-packet chain=postrouting comment="p2p download" disabled=no layer7-protocol=layer7-bittorrent-exp new-packet-mark="p2p download" passthrough=no

5. Блокируем торрент-трафик:
/ip firewall filter
add action=drop chain=forward disabled=no p2p=all-p2p
add action=drop chain=forward in-interface={WAN_interface} comment="torrent dht out magnet" content=d1:ad2:ad20 disabled=no dst-port=1025-65535 packet-size=95-190 protocol=udp
add action=drop chain=forward in-interface={WAN_interface} comment=info_hash content=info_hash disabled=no dst-port=2170,80 protocol=tcp
add action=drop chain=forward out-interface={local-lan-interface} content="\r\nContent-Type: application/x-bittorrent" protocol=tcp src-port=80 comment=".torrent \r\nContent-Type...."

где in-interface={WAN_interface} — ваш WAN-интерфейс (например, ether1 или pppoe-out1), а out-interface={local-lan-interface} — локальный интерфейс (ether2 или bridge1), как описано выше.

P.S. Главное! Чтобы всё работало, отключите fasttrack, если он включён или остался включён по умолчанию! ( https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack )

Надеюсь, поможет! С уважением,