Блокировка p2p трафика на Mikrotik?

Question

Иван Моисеев @mo1seev

Juniper // Cisco // Mikrotik // Asterisk

Блокировка p2p трафика на Mikrotik?

Доброго времени суток.
Имем следующее:
1. RouterOS 6.34.3
2. Создан бридж bridge-hs и к нему прикреплен hotspot.
3. в /ip firewall filter прописаны следующие правила:
add action=drop chain=forward in-interface=bridge-hs p2p=all-p2p
add action=drop chain=forward comment=\
"torrent-DHT-Out-Magnet d1:ad2:id20:" content=d1:ad2:id20: dst-port=\
1025-65535 in-interface=bridge-hs packet-size=95-190 protocol=udp
add action=drop chain=forward comment="torrent /announce..." content=\
"info_hash=" dst-port=2710,80 in-interface=bridge-hs protocol=tcp
add action=drop chain=forward comment=".torrent \r\
\nContent-Type...." content="\r\
\n\r\
\nd8:announce" out-interface=bridge-hs protocol=tcp src-port=80
add action=drop chain=forward comment=".torrent \r\
\nContent-Type...." content="\r\
\n\r\
\nd8:ann" out-interface=bridge-hs protocol=tcp src-port=80
add action=drop chain=forward dst-port=6771 in-interface=bridge-hs \
protocol=udp

Задача: блокировать p2p соединения для пользователей хотспота.

Правила отрабатывают, но не совсем корректно: в статистике видно что правила пропускают через себя трафик и блокируют запросы p2p лишь первые секунд 10. Потом торрент успешно прогружается и начинает работать.

Вопрос задан более трёх лет назад
3853 просмотра

Комментировать

Подписаться 4 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 2

1 комментарий

6 комментариев

Иван Моисеев @mo1seev Автор вопроса

По-подробнее можно?

Написано более трёх лет назад
alegzz @alegzz

может вы таки дадите остальные правила? вроде, не мою проблему решаем

Написано более трёх лет назад
Иван Моисеев @mo1seev Автор вопроса

Таки какие правила Вам нужны? Я, вроде, все, что касается торрентов выложил. Что вы подразумевали под fast track? Я не совсем понял.

Написано более трёх лет назад
Александр Романов @moneron89

Иван Моисеев: Выложите полностью весь конфиг файервола, не жадничайте. Затрите ip-адреса сверхсекретные. А фасттрэк - есть экшн такой чудесный. Свежая вича от МТ.

Написано более трёх лет назад
Иван Моисеев @mo1seev Автор вопроса

Александр: Да нет там ничего сверхсекретного) Все остальное - динамические правила, созданные самим микротиком. Поэтому и спросил)
0 chain=forward action=drop protocol=icmp icmp-options=11:0-255 log=no log-prefix=""

1 D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth log=no log-prefix=""

2 D chain=forward action=jump jump-target=hs-unauth-to hotspot=to-client,!auth log=no log-prefix=""

3 D chain=input action=jump jump-target=hs-input hotspot=from-client log=no log-prefix=""

4 D chain=input action=drop protocol=tcp hotspot=!from-client dst-port=64872-64875 log=no log-prefix=""

5 D chain=hs-input action=jump jump-target=pre-hs-input log=no log-prefix=""

6 D chain=hs-input action=accept protocol=udp dst-port=64872 log=no log-prefix=""

7 D chain=hs-input action=accept protocol=tcp dst-port=64872-64875 log=no log-prefix=""

8 D chain=hs-input action=jump jump-target=hs-unauth hotspot=!auth log=no log-prefix=""

9 D chain=hs-unauth action=reject reject-with=tcp-reset protocol=tcp log=no log-prefix=""

10 D chain=hs-unauth action=reject reject-with=icmp-net-prohibited log=no log-prefix=""

11 D chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited log=no log-prefix=""

12 XI ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough log=no log-prefix=""

13 chain=forward action=drop p2p=all-p2p log=no log-prefix=""

14 ;;; torrent-DHT-Out-Magnet d1:ad2:id20:
chain=forward action=drop protocol=udp dst-port=1025-65535 content=d1:ad2:id20: packet-size=95-190 log=no log-prefix=""

15 ;;; torrent /announce...
chain=forward action=drop protocol=tcp dst-port=2710,80 content=info_hash= log=no log-prefix=""

16 chain=forward action=drop protocol=tcp src-port=80 content=\r\nContent-Type: application/x-bittorrent log=no log-prefix=""

17 chain=forward action=drop protocol=udp dst-port=6771 content=\r\nInfohash: log=no log-prefix=""

Написано более трёх лет назад
alegzz @alegzz

Странно. А в первом правиле уберите in-interface

Написано более трёх лет назад