L7 правило для торрента

Все о специализированных сетевых программных продуктах
Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

L7 правило для торрента

Сообщение sherwood 09 мар 2010, 16:16

У кого нибудь есть рабочее решение?

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: L7 правило для торрента

Сообщение sherwood 09 мар 2010, 16:59

вот нарыл это, только не знаю работает оно или нет и что оно делает:
Код: Выделить всё
/ip firewall layer7-protocol
add comment="" name="\B5TP" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
/ip firewall mangle
add action=mark-connection chain=forward comment="" connection-state=new disabled=no \
layer7-protocol="\B5TP" new-connection-mark="\B5TP" passthrough=yes protocol=udp
add action=mark-packet chain=forward comment="" connection-mark="\B5TP" disabled=no \
new-packet-mark="\B5TP" passthrough=yes
/ip firewall filter
add action=drop chain=forward comment=\
"uTP uTorrent " disabled=no layer7-protocol=\
"\B5TP" packet-mark="\B5TP" 

Аватара пользователя
FAST-NET

 
Сообщения: 527
Зарегистрирован:
28 авг 2007, 20:10

Re: L7 правило для торрента

Сообщение FAST-NET 10 мар 2010, 10:04

Si ce face aceasta regula? Limiteaza sau din cite inteleg face "drop"

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: L7 правило для торрента

Сообщение Igoras 10 мар 2010, 11:07

По-моему L7 правила жрут проц хорошо, потому что надо кроме заголовков пакетов просматривать и содержимое...

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: L7 правило для торрента

Сообщение sherwood 10 мар 2010, 23:50

получается, что вы не режете торрент трафик?

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: L7 правило для торрента

Сообщение Igoras 11 мар 2010, 00:26

Режем, вместе с остальным... отдельно - нет...

У меня стоят правила, которые из общего потока выделяют потоки, где число переданных байт меньше какого-то лимита (5 мбайт например). Для таких потоков стоят боле демократичные шейперы. Этого вполне хватает чтобы большинство страничек открывались шустро, и примерно на 1-2 минуты видео на ютубе. Все остальное - через общий шейпер... помогает бороться не только с торрентами, но и с закачками по любым другим протоколам... и не грузит проц...

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: L7 правило для торрента

Сообщение sherwood 11 мар 2010, 01:22

нашел описание выше приведенных правил...
оно должно дропать новый протокол торрента:
http://forum.nag.ru/forum/index.php?showtopic=55025
подскажите почему у меня не дропаются этот трафик?
в мангле под эти правила трафик попадает, а вот в фильтре - 0
правило в фильтре стоит самым первым...
может конечно у меня еще ни кто не качает по новому протоколу, но в мангле то есть трафик... :hmm:

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: L7 правило для торрента

Сообщение Igoras 11 мар 2010, 02:25

дропать должно... в правиле какая-то избыточность - зачем еще раз layer7-protocol="B5TP" в filter-правиле? у нас ведь уже помечаются пакеты в mangle... зачем 2 раза грузить проц анализом содержимого?

Советую поменять passthrough=yes на no в правиле add action=mark-packet - скорее всего packet mark перебивается каким-то правилом ниже по списку в mangle. Других идей нет.

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: L7 правило для торрента

Сообщение sherwood 11 мар 2010, 10:11

не совсем понимаю что делаю... :hmm:
каким образом дропаются пакеты, ведь я только пометил их в мангле, следую тем правилам?
и если следовать примеру из wiki:
Код: Выделить всё
/ip firewall layer7-protocol
 add comment="" name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$\
    |get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet\
    /|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

Код: Выделить всё
/ip firewall filter
add action=accept chain=forward comment="" disabled=no layer7-protocol=\
    bittorrent protocol=tcp

это тоже заблокирует торент пакеты? понимаю, что все их не заблокируешь, но какую то часть...

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: L7 правило для торрента

Сообщение Igoras 11 мар 2010, 10:38

sherwood писал(а):каким образом дропаются пакеты, ведь я только пометил их в мангле, следую тем правилам?

sherwood писал(а):/ip firewall filter
add action=drop chain=forward comment=\
"uTP uTorrent " disabled=no layer7-protocol=\
"\B5TP" packet-mark="\B5TP"

Очень простым способом я бы сказал :)

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: L7 правило для торрента

Сообщение sherwood 11 мар 2010, 11:01

Igoras писал(а):в правиле какая-то избыточность - зачем еще раз layer7-protocol="B5TP" в filter-правиле? у нас ведь уже помечаются пакеты в mangle... зачем 2 раза грузить проц анализом содержимого?

дык, вроде убрать просили?
и по поводу второго вопроса, я так понимаю там ни чего не дропается, а просто метятся пакеты?

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Re: L7 правило для торрента

Сообщение Igoras 11 мар 2010, 11:20

Убрать, но не все же правило, а только лишний параметр :)

Во втором просто все пакеты разрешаются фаерволлом зачем-то... видимо чтобы обойти какие-то последующие дропы...

Аватара пользователя
sherwood

 
Сообщения: 140
Зарегистрирован:
11 дек 2009, 10:25

Re: L7 правило для торрента

Сообщение sherwood 11 мар 2010, 11:28

заработало первое правило... :)
то есть стало попадать под - drop...
стоит в самом конце и работает...
не работало из-за того что делал в winbox, как только сделал из консоли - заработало :hmm:
странно - сделал правило в winbox потом сделал export в консоли (правило получилось такое же)?
скопировал .... удалил прежнее (сделанное в winbox) сделал в консоли и все заработало ... :hmm:


Вернуться в Сетевое программное обеспечение

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron