Корпоративная сеть и торренты

Обсуждение ПО и его настройки
JereminVV
Сообщения: 10
Зарегистрирован: 22 дек 2012, 01:45

Доброго времени суток!
Был приобретён RB2011UAS-2HnD-IN для замены DFL-210.
Основные задачи: Firewall, DHCP,PPTP. Ну и естественно резать неугодные начальству и админу сайты.
Распаковал сей девайс и подключил таким образом (для теста):наша локаль -> 1 порт; далее: 6 порт -> мой бук.
Руками сделал мост (Bridge) между 1 и 6 портом.
Потом включил торрент на закачку и поставил на паузу.
В настройках фаервола для моста forward - р2р - drop
Снял с паузы торрент. тот задумался и продолжил закачку. Остановил. Загрузил новую задачу - торрент подумал и начал качать...
Позвонил другу, который и познакомил меня с Микротиками. Узнал о себе некоторые недокументированные подробности.
Снес настройки сделанные в GUI, сделал настройки через консоль. Позвонил другу опять. За это время он сделал у себя тоже самое. Торрент победил. Друг извинился. Предложил метод параноика: закрыть всё и открывать только нужное. Мне такое не совсем подходит.
Теперь собственно вопрос: Как бороться с торрентами? (ибо это одна из причин покупки Микротик, а шеф к покупкам относится как мистер Крабс из мультфильма Спанч Боб)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вглухую порезать весь торрент весьма сомнительно, современные клиенты шифруют трафик, его не отличить от обычного простыми методами. Вот например ветка с аналогичным обсуждением. Там предлагается комплекс мер. Если выжимкой, то это ограничение количества сессий от клиента, маркировка трафика по L7, ограничение по портам выше 10000.
Все это в комплексе должно если не запретить совсем, то очень ограничить использование торрентов. Но нагрузка на роутер возрастет весьма ощутимо.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
JereminVV
Сообщения: 10
Зарегистрирован: 22 дек 2012, 01:45

Собственно да, торрент неубиваем. Маркировку трафика по L7 делать не хочу, что бы не загружать железо. А вот вариант с приоритетом трафика кажется мне более удачной идеей. После выходных попробую. Но р2р всё же наверное оставлю в "drop" на всякий случай. Вдруг у кого нить есть раритетные клиенты.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да, стоит промаркировать трафик по приоритетам, сначала icmp, потом http, потом прочий, можно еще несколько очередей создать. Задать им приоритеты в порядке перечисления, и пусть шпарят. Ограничить количество пакетов в секунду в соединении и количество соединений на каждую машину-клиента-группу. Совсем, конечно, не зарежете, но смысл торрентовщины типа я всегда на раздаче потеряется. Для провайдеров, конечно, неприемлемо, задолбут поддержку звонками. А для офиса-филиалов самое то.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
JereminVV
Сообщения: 10
Зарегистрирован: 22 дек 2012, 01:45

Да, это наверное самый лучший вариант. А есть ли готовый пример такой настройки? Просмотрел много ссылок по разным поисковикам (google и yandex дают разные ресурсы) - но проблема в том, что есть множество несовпадающих настроек, или настроек под старую ось с камментами, что в новом релизе может быть и по другому.


JereminVV
Сообщения: 10
Зарегистрирован: 22 дек 2012, 01:45

podarok66 - Вопрос лично к Вам, здесь: viewtopic.php?f=1&t=1080 Вы писали, цитирую: "Как вариант, можно завернуть весь трафик через прокси, сделать этот прокси прозрачным, запретить трафик мимо прокси и уже в прокси написать правило типа..." и "В принципе, можно даже запретить загрузку файлов с определенным расширением, если очень уж юзеры отвязные"

Я так понимаю, что прокси поднимается на самом микротике, это так? И значит можно будет запрещать сайты не по ip а по его названию. И ещё: Прозрачный прокси - означает ли это, что в настройках клиентских машин НЕ будет упомянуто про прокси, а останется как и раньше получение от DHCP адреса, маски, шлюза и DNS?

Если Вы делали так, то можете описать как именно? А то только в эту пятницу распаковал сей девайс (Хотя форумы начал читать заранее, но не имея устройства перед собой это особого успеха не приносит) и начал планировать свои хотелки. А тут ещё и празднование конца света отвлекало от работы. На DFL-210 у меня блокируются сайты через BlackList по списку, а не по ip и запрет на загрузку *.ехе. Но DFL будет снят и заменен микротиком, когда я разберусь с азами. Естественно, что хочется не затягивать с этим увлекательным занятием.


Аватара пользователя
PavelSES
Сообщения: 48
Зарегистрирован: 13 сен 2011, 08:30

JereminVV писал(а):Естественно, что хочется не затягивать с этим увлекательным занятием.


Не затягивайте :) -->


JereminVV
Сообщения: 10
Зарегистрирован: 22 дек 2012, 01:45

PavelSES - Большое спасибо!
И причём этот сайт я просматривал до прибытия девайса... Но не имея его на руках, не знал собственно о чём спрашивать и где копать.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Извиняюсь за молчание, у меня провайдер домашний пока слакает, в итоге я не имею доступа к сети на неопределенное время.
А по поводу запретов, ссылочка абсолютно верная, я именно так и делал в своё время. Все работало...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
JereminVV
Сообщения: 10
Зарегистрирован: 22 дек 2012, 01:45

Благодарю принимавших участие.
пока поставил Микротик на наш резервный канал. Но нужно было подменить мак, ибо провайдер по нему тырнет давал. Нашёл только для терминала команду: /interface ethernet set <имя моего интерфейса> mac-address=XX:XX:XX:XX:XX:XX
Зато заработало, получил всё по DHCP. Порты с 1-го по 2-й как WAN порты, с 3-го по 5-й резерв, с 6-го по 10-й объединил в бридж, повесил на него адрес (статика) и подключил свой бук для теста. Работает отлично. Далее поднял прозрачный прокси, работает. Для проверки закрыл vk.com - закрылся. Но тут же возник вопрос: Можно ли подменить страничку запрета на свою? что бы знали чьих рук это дело. Написать на ней что то типа "Корпоративный стандарт не допускает пользование данным ресурсом". Гугление и Яндексение пока отвечают, что штатными силами RouteOS это неможно. Но, возможно, это уже пофиксили.


Ответить