Блокировка по типам трафика

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Здравствуйте!

Задолбали меня юзвери просаживать канал! Идешь по офису - из каждого кабинета то онлайн-радио, то Ютуб, то еще фигня какая.....
Подскажите, как мне заблокировать на Микротике RB1100AHx2 следующие типы трафика:

1. Торренты
2. Онлайн-радиостанции
3. Ютуб
4. Музыку из Контактика
5. Видео из Контактика
6. Да и вообще любое потоковое аудио/видео нафиг! :-)

Заранее спасибо!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Основываясь на собственном опыте скажу:

ваш запрос укладывается в анализ трафика на 7 уровне, а затем его блокировка.
Более подробнее об это читать здесь http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7

Дело это очень неблагодарное и очень ресурсоемкое. Кроме того, регулярные выражения, на основе которых все это работает, требуют постоянного контроля, так как сайты меняются постоянно и структура пакетов может тоже меняться. Вам придется самим разбирать трафик при помощи Wireshark и составлять такие выражения.

В целом, большинство ваших проблем решается на основе фильтрации DNS. Вы можете сами ограничить доступ к определенным сайтам создав статическую запись DNS, а можете воспользоваться готовыми сервисами фильтрации DNS, я пользуюсь skydns.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

А можно чуть подробнее, что такое фильтрация DNS и с чем его едят, что за готовые сервисы фильтрации?

Просто я этот вопрос как-то совсем не знаю..... Вы писали, что можно ограничить доступ к сайтам, это понятно, но мне надо не к сайтам, а к выборочному содержимому этих сайтов. Т.е., например, можно зайти в Контакт, почитать новости, но нельзя оттуда проиграть музыку или посмотреть видео. Так можно?

Заранее спасибо!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

В вашем случае только фильтрация по L7.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

gmx писал(а):В вашем случае только фильтрация по L7.

Решил попробовать сделать блокировку торрентов на Layer7, основываясь на примере выше по ссылке и на находящийся там файл с описанием типов трафиков:

/ip firewall layer7-protocol
add comment=TORRENTS1 name=bittorrent1 regexp="^(\13bittorrent protocol|azver\
\01\$|get /scrape\\\?info_hash=)|d1:ad2:id20:|\08'7P\\)[RP]"

/ip firewall filter
add action=drop chain=forward comment="Block torrents" layer7-protocol=\
bittorrent1 out-interface=ether1

Увы, не сработало - торрент-файлы скачиваются, сами торренты качаются и раздаются.... :-(

Что я делаю не так?


vkrum
Сообщения: 86
Зарегистрирован: 10 ноя 2012, 00:23

vottghern писал(а):
gmx писал(а):В вашем случае только фильтрация по L7.

Решил попробовать сделать блокировку торрентов на Layer7, основываясь на примере выше по ссылке и на находящийся там файл с описанием типов трафиков:

/ip firewall layer7-protocol
add comment=TORRENTS1 name=bittorrent1 regexp="^(\13bittorrent protocol|azver\
\01\$|get /scrape\\\?info_hash=)|d1:ad2:id20:|\08'7P\\)[RP]"

/ip firewall filter
add action=drop chain=forward comment="Block torrents" layer7-protocol=\
bittorrent1 out-interface=ether1

Увы, не сработало - торрент-файлы скачиваются, сами торренты качаются и раздаются.... :-(

Что я делаю не так?

смотри пункт 6.18 http://mstream.com.ua/mikrotik-tipichni ... glava_6.18.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Протокол bittorent меняется, наверное, чаще всего.
Вам придется использовать wireshark и самому разбираться и писать регулярное выражение.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Спасибо за ссылку - с торрентами разобрался. Дополнительно запретил скачивание .torrent файлов

А что же делать со стримингом аудио/видео? Тут без L7, как я понимаю, никак....
Кто-то сможет помочь рабочими конструкциями?


Ответить