Блокиране на peer to peer връзки с ROS 6.39

[JohnTRIVOLTA]

Здравейте колеги,

след ъпдейт до ros 6.39 и имайки в предвид чейндж лог за версията , а именно " firewall - discontinued support for p2p matcher (old rules will become invalid);" правилото в стената на ъпдейтнатите устройства светна в червено !

Въпроса ми е може ли някой да сподели добра практика за блокиране и ефективно прихващане на този тип трафик и поне редуцирането му до определени скорости?

Поздрави

[111111]

L7

или QoS

[JohnTRIVOLTA]

По-скоро QoS да не ги блокирам . Искам и нещо неуспявам да прихвана ptp връзките на торент клентите и стрийм такива от AcePlayer,SopCast и подобни за да ги огранича по скорост до 2Мбит пример!

[master]

Може и да греша но от доста време лимитирането на торентите не работеше коректно.

За L7 не съм пробвал.

[JohnTRIVOLTA]

Да , не хващаше абсолюно всичко, но вършеше някаква работа! Сега търся цялостно решение за ограничаване на торенти и стриймове.

[master]

Да би било добре ако някой е пробвал работещо решение.

[111111]

Орежи всичко над порт 1024 и си готов

[JohnTRIVOLTA]

преди 22 минути, 111111 написа:

Орежи всичко над порт 1024 и си готов

Да , мислих подобно решение, но трябва над тази стойност да изключа портове като пример за шерпойнт udp1701,4500 и други портове на определени софтуери ... 

щеше ми се само стрийм и торенти да прихващам, но и това е някакво решение!

P.S. Говоря за служебна мрежа - не съм провайдър  

P.P.S. Така ли е правилното решение:

1во маркирам пакетите със съответените сорс мрежа и дист. порт

2ро маркираните пакети ги вкарвам в глобално правило с лимит в queue tree ?

Редактирано 1 Май, 2017 от JohnTRIVOLTA

[111111]

торентите са парчета до 8 мегабайта така че не е сложно да ги изловиш 

особено ако е пуснато upnp

[master]

Като е служебна мрежа защо не им пуснеш само това което им трябва?

[111111]

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=576 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460 

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=398 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=748 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1430 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1448 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1466 

После по маркера или дропи или лимитирай

[JohnTRIVOLTA]

преди 13 минути, 111111 написа:

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=576 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460 

/ip firewall mangle   
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=398 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=748 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1430 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1448 
add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=all-torrent \
passthrough=no protocol=udp src-port=1024-65535 packet-size=1466 

После по маркера или дропи или лимитирай

Изключенията в този рейндж в същите правила за маркиране ли да ги сложа с " ! " ? Ще обясниш ли какво означават или на какво съответстват големината на пакетите? Днес направих нещо подобно, но само с 2 подони правила:

Едно за TCP с изключение на нужните портове и такова съответно за UDP . За двата маркирани трафика заделих по 20мб/с които се делят между клиентите равномерно с приорити 7!

[111111]

Това са пакетните размери на стандартните комуникационни пакети в торент протокола.

Общо взето не е сложно да се блокира но е пипкаво,

има няколко похвата, като може би най-ефективен спрямо ситуацията е блокирането на анонсер заявките.

Но той става неефективен ако разрешиш на един и другите по DHT се присламчат и анонсера се прескача