Mikrotik. Блокировка торрентов и неработающий VPN

Обсуждение ПО и его настройки
Ответить
gio_kontrol
Сообщения: 3
Зарегистрирован: 10 апр 2018, 19:34

Добрый вечер, коллеги. Получил задание заблокировать загрузку торрентов в одном из офисов. Стоит тут Mikrotik. Я через его вэб-интерфейс добавил новые правила в firewall.

Код: Выделить всё

/ ip firewall filter 
add action=drop chain=forward p2p=all-p2p 

add action=drop chain=forward content="d1:ad2:id20: " dst-port=1025-65535 in-interface=bridge-local packet-size=95-190 protocol=udp 

add action=drop chain=forward content="info_hash" dst-port=2710,80 in-interface=bridge-local protocol=tcp 

/ ip firewall filter 
add chain=forward action=add-src-to-address-list protocol=udp address-list=torrentlist address-list-timeout=0s packet-size=90-190 log=no log-prefix="" 

/ ip firewall filter 
add chain=forward action=drop protocol=udp src-address-list=torrentlist dst-port=!80,443,53 packet-size=90-190 log=no log-prefix="" 
После комбинации этих правил, перестали загружаться торренты, как и было необходимо. Но также отвалился VPN. Прикладываю скрин со списком правил из вэбморды Микротика. Как только включаю правило, подчеркнутое красным, перестает работать VPN. Что можно с этим сделать? Как заблокировать торренты для всех, кроме одного компьютера, чтобы при этом работал VPN? Я вообще впервые работаю с Микротиком. Протокол VPN — L2TP/IPsec c предварительным ключем.
Изображение


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Запретите приказом установку торрент клиентов на ПК.
Проверяйте исполнение еженедельно.
По списку инсталлированных программ и количеству одновременных соединений, открытых одним хостом.
Нарушителей первый раз лишайте премии.
Второй раз лишайте премии с предупреждением.
Третий раз увольняйте.

Остальное обходится. Вы запрещаете трекеры, но если пользователь описание закачки скачает на свой телефон (файл - маленький, запретов - нет), и скормит на ПК клиенту, ничто не помешает ему качать файл.


gio_kontrol
Сообщения: 3
Зарегистрирован: 10 апр 2018, 19:34

Erik_U писал(а): 11 апр 2018, 10:30 Запретите приказом установку торрент клиентов на ПК.
Проверяйте исполнение еженедельно.
По списку инсталлированных программ и количеству одновременных соединений, открытых одним хостом.
Нарушителей первый раз лишайте премии.
Второй раз лишайте премии с предупреждением.
Третий раз увольняйте.

Остальное обходится. Вы запрещаете трекеры, но если пользователь описание закачки скачает на свой телефон (файл - маленький, запретов - нет), и скормит на ПК клиенту, ничто не помешает ему качать файл.
Спасибо за подсказки, но хотелось бы решить проблему на аппаратном уровне, а не административном.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Здесь
viewtopic.php?f=7&t=6179&p=31472&hilit= ... %B2#p31472
есть ссылка на
https://habrahabr.ru/sandbox/65236/

Картинка, которую вы приклеили не открывается, поэтому не знаю, какое правило у вас выделено красным.
Подозреваю, что это

Код: Выделить всё

/ ip firewall filter 
add chain=forward action=drop protocol=udp src-address-list=torrentlist dst-port=!80,443,53 packet-size=90-190 log=no log-prefix="" 
в статье по ссылке выше справляются без него.


gio_kontrol
Сообщения: 3
Зарегистрирован: 10 апр 2018, 19:34

Erik_U писал(а): 11 апр 2018, 15:12 Здесь
viewtopic.php?f=7&t=6179&p=31472&hilit= ... %B2#p31472
есть ссылка на
https://habrahabr.ru/sandbox/65236/

Картинка, которую вы приклеили не открывается, поэтому не знаю, какое правило у вас выделено красным.
Подозреваю, что это

Код: Выделить всё

/ ip firewall filter 
add chain=forward action=drop protocol=udp src-address-list=torrentlist dst-port=!80,443,53 packet-size=90-190 log=no log-prefix="" 
в статье по ссылке выше справляются без него.
Я этим способом первоначально пробовал. Он не работает. Действительно работал способ, который я указал в своем первом посте, но при этом блокировался еще и в VPN


mocr
Сообщения: 6
Зарегистрирован: 23 фев 2018, 18:15

Если используете постоянные точка-точка vpn соединения, то используйте свой метод из первого поста, просто исключите ip-адреса серверов с которыми соединяется впн.
Если ограничить ip нельзя - исключите порты udp 500, 4500 (ipsec vpn), тем более у вас некоторые, судя по всему, уже исключены (!80,443,53). Не думаю что торрент клиенты в конфигурации по умолчанию их используют, а значит торрентокачателю нужно точно знать какие udp порты ставить (а это еще в настройках найти надо, обычно дают выставить tcp порт, но не udp). Не идеальный, но вариант.

Ну и не совсем по теме :-): Запретить установку на ПК можно не только административно но и программно, к примеру, если у вас все ПК на винде с AD, используйте Software Restriction Policies, грубо говоря белый список программ, которые разрешено запускать (можно использовать и для запрещения торрент-клиентов по цифровым подписям). Один раз настроить и можно забыть не только про "запрещенный софт", но и с вирусами можно попрощаться.


Ответить