forum.lan.md

[flamenco]

Вопрос следующий: как можно блокировать торрент трафик юзерам с помощью средств микротика? с незашифрованным трафиком всё ясно, его можно легко пометить и дропать, а что делать с зашифрованным? есть идеи?

[KirillTs]

flamenco,
На наге читал тему.. вроде как все сошлись на мнении, что шифрованный траф отследить не получится... да и зачем... в данный момент можно брать достаточно широкие каналы.. чтобы не парится на счет кто, чего и сколько....

[Шинкевич Владимир]

flamenco, Разрешить только 80 порт, на который идет только нешифрованный трафик.

[Igoras]

flamenco,
вариант от Шинкевич Владимир + прокся на 80 порту с отключенным методом КОННЕКТ (правда перестанет пахать ССЛ)....
Я бы лимитировал уж лучше число открытых тцп-соединений на один ип.... оставил бы штук 5....

[Вадим]

Igoras, во, с соединениями это интерестно. Вопрос как?

[Igoras]

Вадим,
в М-тике где-то в районе закладки экстра вроде нечто подобное было... главное отфильтровать по срц-адресу (или дст, если соединения извне), чтобы было число соединений на 1 ип-адрес локальный. В фрибсд помниццо делал как-то давно.

Естественно, работает только с ТЦП, поэтому неактивно пока не выбран протокол ТЦП.

[Вадим]

Igoras, попаду домой и буду посмотреть. Закрыл доступ левым ипам, терь сам не могу залезть ((

[flamenco]

Igoras,
ну даже если лимитировать кол-во одновременных сессий, всё равно можно юзать торренты)
спасибо всем, кто ответил!

[Igoras]

flamenco,
можно, а если закрыть все кроме 80, а 80 пустить через прозрачную проксю с отключенным методом коннект - то тогда все как ты просил правда навреное ни один ИМ-клиент пахать не сможет тоже

[flamenco]

Igoras,
ну так очень жестоко) у меня в сетке сервак качает торренты, поэтому хочу как-то запретить пользователям юзать уТоррент у себя на компах. на данный момент борюсь с этим методом прямого выстрела в голову тому, кто качает, но уже надоело))

[KirillTs]

flamenco,
Думаю если зажать количество соединений торренты, хоть и будут работать, но скорость останется достаточно низкой.... не уж та все равно канал забивают?

[flamenco]

KirillTs,
да ничего они не забивают, торренты у себя на компах никто не качает - все пользуются серваком, но игогда находятся хитрожопые, которые пытаются надурить админа) вот на таких и ищу оружие)

[ping-t]

вопрос не в тему, но все же: как заблокировать левых пользователей, я создал группу "user" "block" ''server", "admin", собственно сервер и админ понятно, в группе "user" мои пользователи которые имеют доступ в инет, в "block" которым запрещен, но там у меня не весь список 256ip, а только те кто не заплатил за инет.
Подскажите в какую сторону копать, а то трафик упал, не знаю как обрезать левые ip,

[Вадим]

что мешает занести в группу "block" диапазон пустых адресов?

[Igoras]

Я лично вообще не вижу смысла с этих списков, тут пишут что "сервер" и "админ" понятно а мне непонятно, чем они отличаются от простых юзеров по сути, если подходить со стороны свойства "есть-нету доступ в интернет". зачем делать отдельно группу "блок", чтобы в нее включать тех, кто не заплатил? Почему, если уж все так по-тупому в лоб, то не вбить туда всех, кто не входит в другие группы?

А главное - почему не сделать в конце правило "запретить все входящие пакеты на локальный интерфейс"? Главное чтобы оно было последним, а до него - разрешающие правила для группы "юзеры", ну и, если угодно, "админ" и "сервер".