Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT

[es] :: Wireless :: Mikrotik :: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT

Strane: 1 2

[ Pregleda: 4472 | Odgovora: 26 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

ip-monster
Podgorica, Crna Gora

Član broj: 280463
Poruke: 38
212.200.246.*



+2 Profil

icon Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT27.03.2017. u 13:31 - pre 85 meseci
U firewall-u sam postavio pravilo da dropuje sav forwarding za p2p(all p2p) ali i dalje uspjesno skidam torente... Malo sam googlao ali ne pronalazim nista sto bi rijesilo ovaj problem. Imam neki wifi ciji vlasnici nisu raspolozeni za vaucerizaciju a neko non-stop skida GB-e potpuno bezobzirno :) Ako imate neko rjesenje saljite(link, bilo sta..).
Prikačeni fajlovi
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 6275

Sajt: pedja.supurovic.net


+1570 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT27.03.2017. u 13:45 - pre 85 meseci
Rešenje za p2p je inverzna logika. Dozvoliš sav saobraćaj koji želiš da prolazi a onda zabraniš sve ostalo.


 
Odgovor na temu

ip-monster
Podgorica, Crna Gora

Član broj: 280463
Poruke: 38
212.200.246.*



+2 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT27.03.2017. u 14:04 - pre 85 meseci
Postavio sam sliku...jel to to?!
 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT27.03.2017. u 15:37 - pre 85 meseci
Nije. Jer ne petljas o p2p uopste, nego jednostavno dozvolis sta treba da dozvolis a ostalo sve na drop. Nesto poput white liste za sajtove kad pravis.
 
Odgovor na temu

gazdamitke
ni na Nebu ni na Zemlji

Član broj: 88172
Poruke: 235
*.dynamic.isp.telekom.rs.



+1 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT27.03.2017. u 18:45 - pre 85 meseci
mozes da filtriras sa L7protocol-om ,ali ako torent klijenti koriste enkripciju i dalje ce prolazi torent saobracaj.

^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT27.03.2017. u 20:51 - pre 85 meseci
Skoro svi torrent klijenti danas koriste enkripciju tako da jedino sto mozes da uradis je - da odustanes ili da jednostavno ogranicis brzinu.
 
Odgovor na temu

npero
Vojvodina

Član broj: 8831
Poruke: 307
*.dynamic.sbb.rs.

Sajt: www.bajmok.org


+10 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 06:35 - pre 85 meseci
Cisto da napomenem u novoj verziji koja ce izaci p2p opcija iz firewall je izbacena razlog hoce da blokira nekada i nesto sto ne treba a ono sto treba i ne radi, kao sto kazu ispred torrenti danas cesto koriste enkripciju.
Cim budes updetovo na 6.39 kada izadje to p2p pravilo ti postaje crveno neaktivno ;).

Kao sto ti Predrag kaze i ja tako podesavam, blokiras sve i pustis samo sto ti treba, tako u 99% slucajeva ne rade torrenti niti nista sto nisi dozvolio.
 
Odgovor na temu

bmarkovic06

Član broj: 301412
Poruke: 716



+66 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 06:56 - pre 85 meseci
Postoji resenje koje donekle radi ali trosi dosta cpu snage. Mora da se radi L7 sa regexp.

Jednostavno pre nego sto zabranis p2p ne dozvolis da bilo ko pronadje neki torent. Takodje mogu peerovi da se ukinu. Ali kao sto informer rece, mnogi torent klijenti danas enkriptuju pa cak i maskiraju p2p kao http saobracaj, tako da ti tu nista puno ne pomaze.


Resenje protiv P2P je pokusati sa L7 ako imas dovoljno jak RB (tako ces oterati i preko 70% usera), zatim uraditi ogranicenje brzine za svakog klijenta (dati mu max brzinu nekih minut i to mu je dovoljno za bilo kakav surf, a posle minut bursta mu svuci brzinu na 1mbps pa nek vuce sta hoce). E sad u kombinaciji sa burstom moze da se uradi i malo pametniji queue gde moze da se pohvata saobracaj kada se skidaju odredjene ekstenzije tipa .docx, .pdf itd pa da to ne ulazi u gore navedeno pravilo jer mozda neko zeli skinuti poveci PDF, DOC ili nesto slicno, sta znam....


Ima jako puno opcija koje mogu da se primene. Sve zavisi gde sve to postavljas. Da li je firma u pitanju, ili neki ugostiteljski objekat ili nesto trece. Ako je npr hotel ili restoran, zabole te za brzinu kod klijenta. Bolje mu omoguci 1mbps da ima da mu radi nego sad tu neke brzine. Sa 1mbps ima sve da mu radi bez problema.
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.ptt.rs.



+79 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 07:53 - pre 85 meseci
to, sa inverznom logikom mi se ne sviđa, iz prostog razloga što p2p klijenti imaju i opciju "http/https seed"...
morao bi nekako da radi i deep packet inspection na 80/443 kako torenti ne bi prošli...

nekog konačnog rešenja nema... ovi npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) što zaobilazi skoro svaku restrikciju...
možda ntop na nekom Linux boxu ali ovde je tema kako blokirati p2p na RouterBOARD 962...

još jedno rešenje koje se koristi je DNS Proxy... napraviti pravilo da za svaki upit koji dolazi na port 53 firewall radi DNAT ka OpenDNS serveru (ovim se onemogući menjanje DNS servera od strane klijenta)...

Code:
/ip firewall nat 
add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=tcp dst-port=53
add chain=dstnat action=dst-nat to-addresses=208.67.222.222 to-ports=53 protocol=udp dst-port=53


Na OpenDNS-u se odradi "content filtering" za p2p saobraćaj...





Ako je dinamička WAN IP, podesi se na Mikrotiku DNS-O-MATIC skripta ... OpenDNS baza se svakodnevno osvežava od strane admina a predloge daje zajednica koja je ogromna... 99,99% neće proći torenti... Norton Connect Safe i Yandex su nekada takođe imali besplatne DNS-ove koji su radili DNS Proxy filtering... e sad, sve se može zaobići ali eto...


[Ovu poruku je menjao Mile-Lile dana 28.03.2017. u 09:58 GMT+1]
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.customer.blic.net.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 08:27 - pre 85 meseci
Mimo svega ti svakako blokiraj po source adresi dobro poznate sajtove za pretragu torenta, ako neka djeca skidaju vjerovatno ce ih u velikoj mjeri onemoguciti :)
Šaka
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 08:50 - pre 85 meseci
Citat:
Mile-Lile:npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) koji moraš dozvoliti zbog DNS-a


Ne moras. Dozvolis input i output ali ne i forward.
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 08:55 - pre 85 meseci
Citat:
dragansar:
Mimo svega ti svakako blokiraj po source adresi dobro poznate sajtove za pretragu torenta, ako neka djeca skidaju vjerovatno ce ih u velikoj mjeri onemoguciti :)


I dobro poznate sajtove za otvaranje sajtova u frame-u kao i dobro poznate vpn servise, kao i dobro poznate arhiver sajtove, kao i dobro poznate load balancere svih tih napred navedenih servisa i sve sto je iza load balancera... a treba i mail koji korisnici primaju da skeniras jer im mozda neko posalje .torrent fajl mailom...

U prevodu - uzaludan posao. Uvek se moze zaobici sve sto napravis. Jedino resenje koje sam video a da zaista radi je proxy. Ali za to ti, u zavisnosti od broja korisnika, treba dobar cpu. Ili da postavis poseban uredjaj koji ce tim da se bavi.
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.ptt.rs.



+79 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 09:09 - pre 85 meseci
Citat:
Informer:
Citat:
Mile-Lile:npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) koji moraš dozvoliti zbog DNS-a


Ne moras. Dozvolis input i output ali ne i forward.

onda ja tu nešto ne razumem, za šta koji "chain" služi...
INPUT na portu 53 mi je po difoltu blokiran jer ne služim javni DNS... OUTPUT takođe jer nemam lokalni DNS niti cache server... FORWARD moram da dozvolim 53 (DNS) i 68 (DHCP) minimum... sad si me zbunio... ti verovatno pričaš o posebnom VLAN-u koji je NAT-ovan?
 
Odgovor na temu

npero
Vojvodina

Član broj: 8831
Poruke: 307
*.uns.ac.rs.

Sajt: www.bajmok.org


+10 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 09:19 - pre 85 meseci
Blokira foward port 53 da bi onemogucio klijentima koji prolaze kroz ruter da koriste drugi DNS server, ili neki tuneling preko porta 53, a svakako verovatno koristi lokalni DNS ili DNS na Mikrotiku.
Ne spominje nigde VLAN sasvim logicno resenje da natera klijente na ne diraju DNS posto mi nece raditi :).
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 09:26 - pre 85 meseci
Citat:
Mile-Lile:
Citat:
Informer:
Citat:
Mile-Lile:npr. nude tunneling preko porta 53 (skida se besplatna aplikacija koja radi na windozi) koji moraš dozvoliti zbog DNS-a


Ne moras. Dozvolis input i output ali ne i forward.

onda ja tu nešto ne razumem, za šta koji "chain" služi...


input su svi paketi koji ulaze na uredjaj (dst adresa jedna od adresa na uredjaju)
output su svi paketi koji izlaze sa uredjaja (src adresa neka od adresa na uredjaju)
forward je sve sto samo prolazi (znaci ni src ni dst nisu na uredjaju)

Citat:
INPUT na portu 53 mi je po difoltu blokiran jer ne služim javni DNS... OUTPUT takođe jer nemam lokalni DNS niti cache server... FORWARD moram da dozvolim 53 (DNS) i 68 (DHCP) minimum... sad si me zbunio... ti verovatno pričaš o posebnom VLAN-u koji je NAT-ovan?


Nisam spominjao NAT. Upravo ovo sto je npero rekao.

Dakle, input je dozvoljen sa lokalnih portova na tcp/udp 53. Forward tcp/udp 53 nije dozvoljen. Output je dozvoljen svuda. Na taj nacin korisnik mora da koristi moj lokalni dns ili moze da se slika.

A ovo sto si pustio forward udp 68 je potpuno nepotrebno (a i dhcp ne funkcionise van kolizionog domena) a moze da bude i opasno.


[Ovu poruku je menjao Informer dana 28.03.2017. u 10:38 GMT+1]
 
Odgovor na temu

Mile-Lile
Beograd

Član broj: 269936
Poruke: 1176
*.ptt.rs.



+79 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 09:33 - pre 85 meseci
Hvala...
Mislio sam da je ovo elegantnije:

Code:
/ip firewall nat 
add chain=dstnat in-interface=LAN protocol=tcp dst-port=53 action=redirect
add chain=dstnat in-interface=LAN protocol=udp dst-port=53 action=redirect


korisnik može da promeni DNS server ali će dns rezoluciju ipak da radi Mikrotik...
Ima Androida koji koriste svoje DNS-ove a i korisnici nekad promene na 8.8.8.8 pa zaborave gde se to podešava...
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 09:37 - pre 85 meseci
Sve zavisi kako gledas. Ja vise volim da dobije gresku odnosno da mu bude jasno da je "no-no" nego da ga dovedem u zabludu :)
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.customer.blic.net.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 10:12 - pre 85 meseci
Citat:
Informer:
Citat:
dragansar:
Mimo svega ti svakako blokiraj po source adresi dobro poznate sajtove za pretragu torenta, ako neka djeca skidaju vjerovatno ce ih u velikoj mjeri onemoguciti :)


I dobro poznate sajtove za otvaranje sajtova u frame-u kao i dobro poznate vpn servise, kao i dobro poznate arhiver sajtove, kao i dobro poznate load balancere svih tih napred navedenih servisa i sve sto je iza load balancera... a treba i mail koji korisnici primaju da skeniras jer im mozda neko posalje .torrent fajl mailom...

U prevodu - uzaludan posao. Uvek se moze zaobici sve sto napravis. Jedino resenje koje sam video a da zaista radi je proxy. Ali za to ti, u zavisnosti od broja korisnika, treba dobar cpu. Ili da postavis poseban uredjaj koji ce tim da se bavi.


@Informer
naglasih djeca ;)

Šaka
 
Odgovor na temu

anon115774

Član broj: 115774
Poruke: 1656



+920 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 11:54 - pre 85 meseci
Nisu ni deca vise ono sto su nekad bila :D
 
Odgovor na temu

mika_vk
Nikola Colakovic
Hrvatska

Član broj: 79161
Poruke: 67
*.adsl.net.t-com.hr.

ICQ: 92213817


+2 Profil

icon Re: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT28.03.2017. u 13:45 - pre 85 meseci
Ja sam to sredio tako da sam rekao da torrentata ima samo od 00:00 - 07:00.
U ostalom periodu tko proba skidati, blokiram mu sav internet promet na pola sata.
znaci L7 kad otkrije p2p, puca njegovu adresu na blok listu pola sata... i onda svi paketi sa blok liste su dropani.. Cak ti netreba ni L7, doboljno je da mikrotik otkrije jedan paket p2p i bloka mu net.
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Blokiranje p2p saobracaja na Mikrotik RouterBOARD 962UiGS-5HacT2HnT

Strane: 1 2

[ Pregleda: 4472 | Odgovora: 26 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.