SKFREE
Mikrotik™ Podpora - Zasa p2p a mikrotik
cin - 07.05.2007 - 21:53
Post subject: Zasa p2p a mikrotik
Dobry den!
potreboal by som radu ohladom toho ako ucinne filtrovat p2p trafik na mikrotiku RB532A. Teraz pouzivaj taketo pravidl v SQ ktore mam v SQ na prvom mieste:
name="p2p" target-addresses=172.16.254.0/24 dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8
queue=wireless-default/wireless-default limit-at=0/0 max-limit=64000/128000 total-queue=default-small p2p=all-p2p
Ale nezachytava to vsetok p2p trafik Sad iba cca 50% Sad Je neakoa moznost ako p2p trafik filtrofat na mikrotiku ucinnejsie? Na danom mieste nema moznost nainstalovat velke PC na ktorom by som mal linux s ipp2p a filtroval to na l7 vrstve. Dakujem za vsetky rady. Very Happy
andreas4all - 07.05.2007 - 22:43
Post subject:
este sa da nieco odfiltrovat cez porty, ale to nie je tiez boh vieco...
cin - 08.05.2007 - 06:34
Post subject:
andreas4all wrote: ›este sa da nieco odfiltrovat cez porty, ale to nie je tiez boh vieco...
to sa v dnesnej dobe ani neoplati kedze p2p vie ist uz aj cez port 80 
kotol - 08.05.2007 - 11:34
Post subject:
no mozno ti to nazachytava kriptovane torrenty skus dat do firewallu all-p2p a action=drop ci to pomoze... aj zvysnemu traficu...
neos - 08.05.2007 - 12:10
Post subject:
bohuzial taky torrent prelezie ako-tak aj cez ipp2p a l7-filter, ale s dobrym qos-om sa to da udrzat
bakula - 08.05.2007 - 12:34
Post subject:
neos wrote: ›bohuzial taky torrent prelezie ako-tak aj cez ipp2p a l7-filter, ale s dobrym qos-om sa to da udrzat
Tak veru nie je to len problem mikrotiku ale problem vseobecny. Zopar zariadeni ktore to ale dokazu tu uz bolo spomenutych. dokonca sa u jedneho z klientov objavilo nejake p2p ktoremu nepomoze ani obmedzit upload. este neviem co to je ale skusam to zistit takze to je stale veselsie 
andreas4all - 08.05.2007 - 12:36
Post subject:
kryptovany torrent asi tazko.. kedze to je riesenie proti l7-filtru.... ako povedal bakula, problem vseobecny...
cin - 08.05.2007 - 14:50
Post subject:
andreas4all wrote: ›kryptovany torrent asi tazko.. kedze to je riesenie proti l7-filtru.... ako povedal bakula, problem vseobecny...
Ano ale aj kripovcane veci sa dakju odchytit len treba poriadny zoznam portov. kedze kazdy prvy paket je nekripovany tak staci dat markovat ako prve konekcie a potom nasledne omarkovat pakety z tej konekcie len horsie to asi bude s tym portom 80. A shaper t obmedzi len horsi je pocet konekcii a paketov ako to obmedzovat napriklad na porte 80 aby siel dobre web.
kotol - 08.05.2007 - 15:02
Post subject:
ee
prve spojenie ide na trackera a potom zacnu lietat pakety z neznamym obsahom iba s niakou src a dst adresou... a uz si skoncil
andreas4all - 08.05.2007 - 15:53
Post subject:
je to jednoducho problem... ale podla mna je torrent este v pohode a nerobi taky bordel ako ostatne P2P, viry a podobne.. odkedy sme zacali blokovat porty, tak vytazenie linky kleslo o 20%, vyraznejsie klesli vypadky a podobne...
kotol - 08.05.2007 - 15:56
Post subject:
uff blokovanie portov je zlaa zlaa vec...
urcite nie pre kvalitne sluzby...
radsej posilnit infrastrukturu ako obmedzovat klietov... a ver ze je to vlastne zbytocne..
jedine co treba z portov blokovat su MS file sharing 135.... a niake 445 teraz neviem presne..
bakula - 08.05.2007 - 15:59
Post subject:
kotol wrote: ›ee
prve spojenie ide na trackera a potom zacnu lietat pakety z neznamym obsahom iba s niakou src a dst adresou... a uz si skoncil
Tu ma napada jedna otazka ze ako to ze allot to dokaze shapovat resp. identifikovat. Ale to sa asi nedozvieme.
andreas4all - 08.05.2007 - 16:02
Post subject:
to kotol > ja som bol tiez toho nazoru, ale zial situacia ma presvedcila... teraz po cca mesacnej prevadzke sa nikto nestazuje!!!!! co ma dost prekvapuje, lebo podla mna by nemalu fungovat poriadne P2P (samozrejme ze torrenty funguju), ale vyhradil som porty pre ostatne P2P, takze to viem ako tak kontrolovat... aj ked nie uplne 100%...
kotol - 08.05.2007 - 16:15
Post subject:
statistiky... FUP... ludia to neradi pocuju ale ako som pisal obmedzis tym iba tych ktorych nechces... a nemusis to zverejnovat
proste predavas rychlost od 128kbps do 3Mbit napr a ked niekto moc taha tak skonci na 128kbit...
ten co chce len net a sem tam nieco stiahnut ani nezisti ze niake FUP je
bakula - 08.05.2007 - 16:31
Post subject:
No ked mas vsade kabel tak to poriesi FUP ale na wirellese tak tam je to problem lebo staci jeden p2p klient a ostatny si mozu piskat. Na wirellese to musis jedine shapovat alebo uplne zablokovat (porty). Zatial to sice uspesne shapujem ale stale sa objavuju nove a agresivnejsie protokoli takze len striehnem kedy co unika a uz ma to nebavi. Napr. aj skype je p2p a zbohom rodina ked ten protokol zacnu pouzivat p2p programy co sa tak trochu uz vlastne zacalo (kryptovany torrent) a je len otazka casu kedy to zdokonalia uplne a potom si na bezdrate mozme piskat lebo skype ziadne blokovanie portov nezastavi.
kotol - 08.05.2007 - 16:33
Post subject:
no verim ze na slabom mediu si moc neporadis...
icerowicz - 08.05.2007 - 16:42
Post subject:
kotol wrote: ›no verim ze na slabom mediu si moc neporadis...
poradis, len to chce trocha penazi . Poradis si s tym jednoducho tak, ze ako AP hodis linuxa z wlan kartou a shapujes priamo na nom. Alebo tak, ako to robia chalani od nas, shapuju priamo na mikrotiku a za tie peniazky je to fakt dobra volba =-> tym sa vyhnes takymto problemom. Nie je problem si definovat, ze po prvych 500 mego pada bud rychlost, alebo priorita. Len sa s tym treba byvavcat. U mna na sieti aj ten najvacsi sosac pochopil, ze ked sa mu nepaci, moze ist k niekomu inemu, ale v podstate je to to iste, pretoze nemoze nastat situacia, ze jeden klient vytazuje linku za 20 dalsich normalnych. Potom by to uz nebolo o businesse, ale o dotacii na linku a kvoli tomu to predsa nerobime.
neos - 08.05.2007 - 18:23
Post subject:
andreas4all wrote: ›kryptovany torrent asi tazko.. kedze to je riesenie proti l7-filtru.... ako povedal bakula, problem vseobecny...
podla mojich testov sa utorrent spoji a stahuje cez ipp2p/l7 filter aj bez kryptovania, sice mu to ide horsie ako bez filtra, ale ide..
bakula wrote: ›
Tu ma napada jedna otazka ze ako to ze allot to dokaze shapovat resp. identifikovat. Ale to sa asi nedozvieme.
analyza trafficu sa da robit aj statisticky, nieco zaujimave som videl tu, len to nemam cas skusat:
[url]
http://www.lynanda.com/products/softwar ... ype-filter
[/url]
Inak zaujimavy sposob filtrovania P2P by bol, ak by bol pokope nejaky zoznam prefixov DSL/cable/broadband operatorov. sice by neslo ani skype, ale vacsina p2p trafficu beha prave medzi takymi sietami
andreas4all - 08.05.2007 - 18:29
Post subject:
to neos > torrent nie je standardne kryptovany... treba mu to povolit v programe (ale neviem ako a ktory to podporuje).
cobain - 08.05.2007 - 18:42
Post subject:
kotol presne tie posry ti zabiju linku najma ta 445.
No a ako bolo povedane FUP a je to vyriesene, este ma napada ze ked budem na ludi zly tak im povolim len 150 spojeni co na net staci a ked si ich zaprsi p2p je to jeho starost.
neos - 08.05.2007 - 18:43
Post subject:
ano standardne nieje kryptovany, ale jedina vec ktora je v utorrente ohladom kryptovania:protocol encryption-ongoing, nema nejaky vplyv na fungovanie cez filter
cin - 08.05.2007 - 19:27
Post subject:
A ako to ze ipp2p vie p2p celkom slusne filtrovart cca na 90% Neda sa to v mikrotiku poriesit neakym peknym skriptikom? Alebo neako opatchovat mikrotika ? A myslite ze by vyvojary neboli ochotny po maili s prosou o neaky ten patch v dalsom firmveri to zdokonalit ???
qido - 08.05.2007 - 19:53
Post subject:
cin wrote: ›A ako to ze ipp2p vie p2p celkom slusne filtrovart cca na 90% Neda sa to v mikrotiku poriesit neakym peknym skriptikom? Alebo neako opatchovat mikrotika ? A myslite ze by vyvojary neboli ochotny po maili s prosou o neaky ten patch v dalsom firmveri to zdokonalit ???
ja v principe mozem osrat co ide linkou, co je to p2p alebo nie, jeine co obmedzujem je pocet spojeni na jedneho klienta. Pretoze slabym miestom u mna je mw cast, a velky pocet paketov ju zabija...
cin - 08.05.2007 - 22:19
Post subject:
qido wrote: ›
cin wrote: ›A ako to ze ipp2p vie p2p celkom slusne filtrovart cca na 90% Neda sa to v mikrotiku poriesit neakym peknym skriptikom? Alebo neako opatchovat mikrotika ? A myslite ze by vyvojary neboli ochotny po maili s prosou o neaky ten patch v dalsom firmveri to zdokonalit ???
ja v principe mozem osrat co ide linkou, co je to p2p alebo nie, jeine co obmedzujem je pocet spojeni na jedneho klienta. Pretoze slabym miestom u mna je mw cast, a velky pocet paketov ju zabija...
A aky pravidlom to robis pozes to sem hodit ?? Lebo mne to trebe tiez len na MW klientov co esteidu na 2,4 a nechcu ist na 5GHZ morotolu
cobain - 09.05.2007 - 09:54
Post subject:
cin a po kolko by si im daval koncove zariadenie ?
a pravidlo na omedzenie spojeni je jednoduche len teraz ti ho nenapisem z hlavy ho neviem a nemam pristum na moje MK
Thomas - 09.05.2007 - 12:33
Post subject:
chlapci a čo takto zobiť velký zoznam torrent trackerov ich ipky jednoducho vyblokovať a je po probléme ...
andreas4all - 09.05.2007 - 13:16
Post subject:
to thomas > to mozes rovno napisat IP, ktore maju byt povolene...
cobain - 09.05.2007 - 13:52
Post subject:
andreas4all asi tak nejak
ja dnes v noci planujem spustit aj hlavny server MK dufam ze to bude ficat
cin - 09.05.2007 - 20:31
Post subject:
no kedze som sa nedockal odpovede takze:
Ja mam na obmezenie poctu spojeni spravene takymto pravidlom
101 ;;; limit conn
chain=neplecha protocol=tcp tcp-flags=syn connection-limit=150,32 action=drop
lenze jeho statystyky su 0 Sad v com moze byt hacik ??? Samozrejme ze vo forvarde mam jump na chain=neplecha
andreas4all - 09.05.2007 - 20:36
Post subject:
nemusi sa vytvorit tolko spojeni... na bezne browsovanie ti staci tak 50-100
cin - 09.05.2007 - 20:46
Post subject:
andreas4all wrote: ›nemusi sa vytvorit tolko spojeni... na bezne browsovanie ti staci tak 50-100
dal som 50 a filter nereaguje a pritom cez mikrotik tecie 2,5 Mbit/s
andreas4all - 09.05.2007 - 20:53
Post subject:
mas to definovane 150 na kazdu IP, tak skus este predto hodit take iste pravidlo len action=log
cin - 09.05.2007 - 21:21
Post subject:
ja som to zo 150 zmenil na 50 idem dat log na 10 uvidime co to spravi
cin - 09.05.2007 - 21:25
Post subject:
neslo to ani tak ale uz mam chybu nmoze to byt v inom chaine ako vo forvarde prosto to potom nejde
bakula - 09.05.2007 - 22:12
Post subject:
qido wrote: ›
ja v principe mozem osrat co ide linkou, co je to p2p alebo nie, jeine co obmedzujem je pocet spojeni na jedneho klienta. Pretoze slabym miestom u mna je mw cast, a velky pocet paketov ju zabija...
Obmedzenim poctu spojeni neobmedzis pocet paketov...
zelmar - 09.05.2007 - 22:46
Post subject:
A ako obmedzite borcom spojenia na UDP??? Lebo z pozorovaní mi vyšlo že torrenty otvoria zopar kontrolnych TCP/IP spojení a ostatok mohutne tlačia cez UDP...
cobain - 09.05.2007 - 23:52
Post subject:
chain=forward src-address=10.10.4.0/24 protocol=tcp p2p=all-p2p connection-limit=50,32
src-address-list=!prekrocenie poctu spojeni p2p (50) action=log
log-prefix="PREKROCENIE POCTU SPOJENI P2P (50) >>>>"
4 chain=forward src-address=10.10.4.0/24 protocol=tcp p2p=all-p2p connection-limit=50,32 action=add-src-to-address-list
address-list=prekrocenie poctu spojeni p2p (50) address-list-timeout=1h
5 chain=forward src-address=10.10.4.0/24 protocol=tcp p2p=all-p2p connection-limit=50,32 action=drop
Aman - 10.05.2007 - 06:36
Post subject:
zelmar wrote: ›A ako obmedzite borcom spojenia na UDP??? Lebo z pozorovaní mi vyšlo že torrenty otvoria zopar kontrolnych TCP/IP spojení a ostatok mohutne tlačia cez UDP...
tam je pes zakopany... MK nevie obmedzit pocet UDP spojeni
Nemas na to nejaku fintu?
cin - 10.05.2007 - 06:59
Post subject:
tam je pes zakopany... MK nevie obmedzit pocet UDP spojeni
Nemas na to nejaku fintu?[/quote]
NO ano mate pravdu to obmedzenie poctu UDP by sa urcite zislo len ako to robit a ako robite obmedzenie poctu paketov? Cez dst limit??
Aman - 10.05.2007 - 07:10
Post subject:
naco chces obmedzit pocet paketov - mozno je rano, ale najak mi to nedochadza...
qido - 10.05.2007 - 08:04
Post subject:
Aman wrote: ›naco chces obmedzit pocet paketov - mozno je rano, ale najak mi to nedochadza...
kvoli p2p, nemusi nikoho obmedzovat, tym ze ho odfiltruje, ale proste obmedzi pocet paketov, ktore mu tecu radiom a tym zvysi priepustnost.
cin - 10.05.2007 - 10:21
Post subject:
kvoli p2p, nemusi nikoho obmedzovat, tym ze ho odfiltruje, ale proste obmedzi pocet paketov, ktore mu tecu radiom a tym zvysi priepustnost.[/quote]
no ano ide hlavne o p2p ko to robis a dalej p2p uz vie ist niekey aj cez 80 port takze ake pravidla pouzivate ???
andreas4all - 10.05.2007 - 10:36
Post subject:
ja mam nasadene toto a ide to velmi dobre, neodstranuje to priamo P2P, ale obmedzuje to porty, na ktore si to definujes (tie hlavne su tam ako defaultne, je dobre pridat na CS, WOW a pod.)
http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling
ige - 10.05.2007 - 22:39
Post subject:
chain=forward src-address=1.2.3.0/24 protocol=udp dst-limit=250,250,dst-address/1h action=accept
vyskusaj toto, pripadne si uprav parametre v dst-limit
cobain - 10.05.2007 - 22:46
Post subject:
andreas nedas demo aby som si pozrel ako to mas implementovane ?
airbilly - 10.05.2007 - 23:07
Post subject:
O com to tocite ?
Na AP treba seknut rychlost a nasledne aj pocet spojeni(na ap alebo na shaperi). Nic viac nikoho trapit nemusi..
cin - 10.05.2007 - 23:11
Post subject:
airbilly wrote: ›O com to tocite ?
Na AP treba seknut rychlost a nasledne aj pocet spojeni(na ap alebo na shaperi). Nic viac nikoho trapit nemusi..
a pocet paketov netreba obmedzovat ?? A ja mikrotik pouzivam iba ako router AP mam straightcore WRT311 a WRT312
airbilly - 10.05.2007 - 23:17
Post subject:
cin wrote: ›
a pocet paketov netreba obmedzovat ?? A ja mikrotik pouzivam iba ako router AP mam straightcore WRT311 a WRT312
Hmm, zatial som nemal taku potrebu, aj ked to nemusi byt na skodu.
Co sa tyka tych hraciek co menujes, mne sa spravaju dako divne. Nastavim 2 mbit a ide to tak 1 mbit a podobne haluze.
cin - 10.05.2007 - 23:19
Post subject:
no mne sa moc nezda to obmedzovani poctu konektov ako keby to neslo
andreas4all - 11.05.2007 - 09:37
Post subject:
to cobain > velmi rad, ale nama to preroutrovane na vonkajsiu IP.
cobain - 11.05.2007 - 12:55
Post subject:
skoda
cin - 13.05.2007 - 19:44
Post subject:
ja som to poriesil jednoducho poblokoval som porty a mam to spravene jumpom na dane pravidla a na jumpe mam nastaveny cas kedy ma to pravidlo fungovat takze p2p mi idem iba od 22:00 do 8:00 rana zatial to vyzera slubne