Страница 1 из 1
Блокировка по типам трафика
Добавлено: 21 окт 2014, 16:45
vottghern
Здравствуйте!
Задолбали меня юзвери просаживать канал! Идешь по офису - из каждого кабинета то онлайн-радио, то Ютуб, то еще фигня какая.....
Подскажите, как мне заблокировать на Микротике RB1100AHx2 следующие типы трафика:
1. Торренты
2. Онлайн-радиостанции
3. Ютуб
4. Музыку из Контактика
5. Видео из Контактика
6. Да и вообще любое потоковое аудио/видео нафиг!
Заранее спасибо!
Re: Блокировка по типам трафика
Добавлено: 22 окт 2014, 07:37
gmx
Основываясь на собственном опыте скажу:
ваш запрос укладывается в анализ трафика на 7 уровне, а затем его блокировка.
Более подробнее об это читать здесь
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7Дело это очень неблагодарное и очень ресурсоемкое. Кроме того, регулярные выражения, на основе которых все это работает, требуют постоянного контроля, так как сайты меняются постоянно и структура пакетов может тоже меняться. Вам придется самим разбирать трафик при помощи Wireshark и составлять такие выражения.
В целом, большинство ваших проблем решается на основе фильтрации DNS. Вы можете сами ограничить доступ к определенным сайтам создав статическую запись DNS, а можете воспользоваться готовыми сервисами фильтрации DNS, я пользуюсь skydns.
Re: Блокировка по типам трафика
Добавлено: 22 окт 2014, 07:58
vottghern
А можно чуть подробнее, что такое фильтрация DNS и с чем его едят, что за готовые сервисы фильтрации?
Просто я этот вопрос как-то совсем не знаю..... Вы писали, что можно ограничить доступ к сайтам, это понятно, но мне надо не к сайтам, а к выборочному содержимому этих сайтов. Т.е., например, можно зайти в Контакт, почитать новости, но нельзя оттуда проиграть музыку или посмотреть видео. Так можно?
Заранее спасибо!
Re: Блокировка по типам трафика
Добавлено: 22 окт 2014, 16:36
gmx
В вашем случае только фильтрация по L7.
Re: Блокировка по типам трафика
Добавлено: 23 окт 2014, 10:07
vottghern
gmx писал(а):В вашем случае только фильтрация по L7.
Решил попробовать сделать блокировку торрентов на Layer7, основываясь на примере выше по ссылке и на находящийся там файл с описанием типов трафиков:
/ip firewall layer7-protocol
add comment=TORRENTS1 name=bittorrent1 regexp="^(\13bittorrent protocol|azver\
\01\$|get /scrape\\\?info_hash=)|d1:ad2:id20:|\08'7P\\)[RP]"
/ip firewall filter
add action=drop chain=forward comment="Block torrents" layer7-protocol=\
bittorrent1 out-interface=ether1
Увы, не сработало - торрент-файлы скачиваются, сами торренты качаются и раздаются....
Что я делаю не так?
Re: Блокировка по типам трафика
Добавлено: 23 окт 2014, 12:03
vkrum
vottghern писал(а):gmx писал(а):В вашем случае только фильтрация по L7.
Решил попробовать сделать блокировку торрентов на Layer7, основываясь на примере выше по ссылке и на находящийся там файл с описанием типов трафиков:
/ip firewall layer7-protocol
add comment=TORRENTS1 name=bittorrent1 regexp="^(\13bittorrent protocol|azver\
\01\$|get /scrape\\\?info_hash=)|d1:ad2:id20:|\08'7P\\)[RP]"
/ip firewall filter
add action=drop chain=forward comment="Block torrents" layer7-protocol=\
bittorrent1 out-interface=ether1
Увы, не сработало - торрент-файлы скачиваются, сами торренты качаются и раздаются....
Что я делаю не так?
смотри пункт 6.18
http://mstream.com.ua/mikrotik-tipichni ... glava_6.18.
Re: Блокировка по типам трафика
Добавлено: 23 окт 2014, 13:08
gmx
Протокол bittorent меняется, наверное, чаще всего.
Вам придется использовать wireshark и самому разбираться и писать регулярное выражение.
Re: Блокировка по типам трафика
Добавлено: 23 окт 2014, 13:47
vottghern
Спасибо за ссылку - с торрентами разобрался. Дополнительно запретил скачивание .torrent файлов
А что же делать со стримингом аудио/видео? Тут без L7, как я понимаю, никак....
Кто-то сможет помочь рабочими конструкциями?