forum.lan.md

У кого нибудь есть рабочее решение?

вот нарыл это, только не знаю работает оно или нет и что оно делает:

Код: Выделить всё

/ip firewall layer7-protocol
add comment="" name="\B5TP" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
/ip firewall mangle
add action=mark-connection chain=forward comment="" connection-state=new disabled=no \
layer7-protocol="\B5TP" new-connection-mark="\B5TP" passthrough=yes protocol=udp
add action=mark-packet chain=forward comment="" connection-mark="\B5TP" disabled=no \
new-packet-mark="\B5TP" passthrough=yes
/ip firewall filter
add action=drop chain=forward comment=\
"uTP uTorrent " disabled=no layer7-protocol=\
"\B5TP" packet-mark="\B5TP" 

Si ce face aceasta regula? Limiteaza sau din cite inteleg face "drop"

По-моему L7 правила жрут проц хорошо, потому что надо кроме заголовков пакетов просматривать и содержимое...

получается, что вы не режете торрент трафик?

Режем, вместе с остальным... отдельно - нет...

У меня стоят правила, которые из общего потока выделяют потоки, где число переданных байт меньше какого-то лимита (5 мбайт например). Для таких потоков стоят боле демократичные шейперы. Этого вполне хватает чтобы большинство страничек открывались шустро, и примерно на 1-2 минуты видео на ютубе. Все остальное - через общий шейпер... помогает бороться не только с торрентами, но и с закачками по любым другим протоколам... и не грузит проц...

нашел описание выше приведенных правил...
оно должно дропать новый протокол торрента:
http://forum.nag.ru/forum/index.php?showtopic=55025
подскажите почему у меня не дропаются этот трафик?
в мангле под эти правила трафик попадает, а вот в фильтре - 0
правило в фильтре стоит самым первым...
может конечно у меня еще ни кто не качает по новому протоколу, но в мангле то есть трафик...

дропать должно... в правиле какая-то избыточность - зачем еще раз layer7-protocol="B5TP" в filter-правиле? у нас ведь уже помечаются пакеты в mangle... зачем 2 раза грузить проц анализом содержимого?

Советую поменять passthrough=yes на no в правиле add action=mark-packet - скорее всего packet mark перебивается каким-то правилом ниже по списку в mangle. Других идей нет.

не совсем понимаю что делаю...
каким образом дропаются пакеты, ведь я только пометил их в мангле, следую тем правилам?
и если следовать примеру из wiki:

Код: Выделить всё

/ip firewall layer7-protocol
 add comment="" name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$\
    |get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet\
    /|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="" disabled=no layer7-protocol=\
    bittorrent protocol=tcp

это тоже заблокирует торент пакеты? понимаю, что все их не заблокируешь, но какую то часть...

sherwood писал(а):каким образом дропаются пакеты, ведь я только пометил их в мангле, следую тем правилам?

sherwood писал(а):/ip firewall filter
add action=drop chain=forward comment=\
"uTP uTorrent " disabled=no layer7-protocol=\
"\B5TP" packet-mark="\B5TP"

Очень простым способом я бы сказал

Igoras писал(а):в правиле какая-то избыточность - зачем еще раз layer7-protocol="B5TP" в filter-правиле? у нас ведь уже помечаются пакеты в mangle... зачем 2 раза грузить проц анализом содержимого?

дык, вроде убрать просили?
и по поводу второго вопроса, я так понимаю там ни чего не дропается, а просто метятся пакеты?

Убрать, но не все же правило, а только лишний параметр

Во втором просто все пакеты разрешаются фаерволлом зачем-то... видимо чтобы обойти какие-то последующие дропы...

заработало первое правило...
то есть стало попадать под - drop...
стоит в самом конце и работает...
не работало из-за того что делал в winbox, как только сделал из консоли - заработало
странно - сделал правило в winbox потом сделал export в консоли (правило получилось такое же)?
скопировал .... удалил прежнее (сделанное в winbox) сделал в консоли и все заработало ...