modified on 20 wrz 2008 at 21:29 ••• 5 191 views

Blokowanie Ares Utorrent i innych szyfrowanych wynalazków

Z MikroTik Wiki

Robert_X


Mam pytanie czy komuś udało się zlimitować nowe programiki p2p tzn uciąć im transfery do żądanych wielkości , jeśli tak to czym

mcozio


moze tak limitowac userowi limit pakietów na sek ? Powrót do góry

CoLiN



bo juz mnie trafia powili. Patrze sobie dziasiaj a tam ziom z predkoscia przycieta do 256

add name="Ziom z 256" dst-address=192.168.0.29/32 interface=all \ parent=none priority=1 queue=default/default limit-at=256000/50000 \ max-limit=256000/50000 burst-limit=512000/50000 burst-time=10s/10s \ total-queue=default disabled=no

Zaciaga sobie prawie 1 mega ! Szok normalnie.

W kolejkowaniu wpadal do other. Ale nie przytne przecierz calego other bo inni beda miali przerabane. CO myslicie ?

_SPS



DOłączam się do pytania. U mnie to samo tyle że mogę sie z tymi gości dogadać - ale to nie o to chodzi no i w dodatku troche obciach.


Pozdraiwam Gularz_pl1



Po pierwsze : Wytnijcie na firewallu p2p=warez to powinno załatwić Aresa i Warez.

Po drugie: Pokazcie jak macie porobione mangle i pozniej simple queue oraz queue tree. z tego co sie zorientowałem żle zmanglowany ruch objawia sie tym o czym mowicie. Dla próby wyłaczcie sobie queue tree.


I tyle w temacie Smile _________________ Life is brutal i full zasadzkas ;/

www.isko.net.pl http://gry.isko.net.pl https://voip.isko.net.pl Teamspeak: gry.isko.net.pl:8787

CoLiN


Juz nie mam mocy. Zrobilem drop warez i lipa nie dziala. Gosciu wpada do marka other. Jedyne co sie udalo zrobic to przyciac other download. Tylko czekac jak inni zaczna marudzic. Co do markowania p2p

Cytat: 37 ;;; P2P UP chain=forward src-address=192.168.0.0/24 p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes

38 chain=forward src-address=192.168.0.0/24 protocol=tcp src-port=1024-65535 dst-port=6881-6889 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

39 chain=forward src-address=192.168.0.0/24 protocol=tcp src-port=4711 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

40 chain=forward src-address=192.168.0.0/24 protocol=tcp src-port=1024-65535 dst-port=4242-4243 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

41 chain=forward src-address=192.168.0.0/24 protocol=tcp src-port=4661-4662 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

42 chain=forward src-address=192.168.0.0/24 protocol=udp src-port=1024-65535 dst-port=12053 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

43 chain=forward src-address=192.168.0.0/24 protocol=udp src-port=12053 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

44 chain=forward src-address=192.168.0.0/24 protocol=udp src-port=1024-65535 dst-port=4665 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

45 chain=forward src-address=192.168.0.0/24 protocol=udp src-port=1024-65535 dst-port=4672 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

46 chain=forward src-address=192.168.0.0/24 protocol=udp src-port=4672 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

47 chain=forward src-address=192.168.0.0/24 protocol=udp dst-port=6346-6348 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

48 chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6346-6348 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

49 chain=forward src-address=192.168.0.0/24 protocol=udp dst-port=11982 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

50 chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 p2p=bit-torrent action=mark-connection new-connection-mark=p2p_conn passthrough=yes

51 chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=5000-5100 action=mark-connection new-connection-mark=p2p_conn passthrough=yes 52 chain=forward src-address=192.168.0.0/24 protocol=udp dst-port=5000-5100 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

53 chain=forward src-address=192.168.0.0/24 protocol=udp src-port=6346-6348 action=mark-connection new-connection-mark=p2p_conn passthrough=yes

54 ;;; P2P DOWN chain=forward dst-address=192.168.0.0/24 p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

55 chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=1024-65535 dst-port=6881-6889 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

56 chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=4711 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

57 chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=1024-65535 dst-port=4242-4243 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

58 chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=4661-4662 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

59 chain=forward dst-address=192.168.0.0/24 protocol=udp src-port=1024-65535 dst-port=12053 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

60 chain=forward dst-address=192.168.0.0/24 protocol=udp src-port=12053 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

61 chain=forward dst-address=192.168.0.0/24 protocol=udp src-port=1024-65535 dst-port=4665 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

62 chain=forward dst-address=192.168.0.0/24 protocol=udp src-port=1024-65535 dst-port=4672 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

63 chain=forward dst-address=192.168.0.0/24 protocol=udp src-port=4672 dst-port=1024-65535 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

64 chain=forward dst-address=192.168.0.0/24 protocol=udp dst-port=6346-6348 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

65 chain=forward dst-address=192.168.0.0/24 protocol=udp src-port=6346-6348 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

66 chain=forward dst-address=192.168.0.0/24 protocol=udp dst-port=11982 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes 67 chain=forward dst-address=192.168.0.0/24 protocol=tcp dst-port=80 p2p=bit-torrent action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

68 chain=forward dst-address=192.168.0.0/24 protocol=tcp dst-port=5000-5100 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

69 chain=forward dst-address=192.168.0.0/24 protocol=udp dst-port=5000-5100 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

70 chain=prerouting dst-address=83.13.49.90 protocol=udp dst-port=6346-6348 action=mark-connection new-connection-mark=p2p_conn2 passthrough=yes

71 chain=forward connection-mark=p2p_conn action=mark-packet new-packet-mark=P2P_UP passthrough=no

72 chain=forward connection-mark=p2p_conn2 action=mark-packet new-packet-mark=P2P_DOWN passthrough=no


Dzialalo elagancko. Do teraz ;/ Gularz to twoje markowanie.

Robert_X


Powierdzam mam identycznie marki porobione na 2.9.27 i 29.32 te same objawy pomaga nieco zablokowanie p2p całkiem

CoLiN



zrobilem drop UDP na adresie kolesia. Zadzialalo. Tnie dobrze. Tylko teraz bedzie pewnie mi marudzil czemu grac nie moze. Jakies kity trzeba bedzie wciskac.

_SPS


Witam!!!

Na aresa działają kolejki PCQ z limitem deklarowanym queue types.

Pozdrawiam Cool

CoLiN


Prościej zlimitować szkodnika w queues. Jak macie limit dla szkodnika na zakładce TOTAL wpisac w total max limit jego max sciaganie. I nie ma bata wiecej nie pociagnie.

Gularz_pl1


CoLiN napisał: Prościej zlimitować szkodnika w queues. Jak macie limit dla szkodnika na zakładce TOTAL wpisac w total max limit jego max sciaganie. I nie ma bata wiecej nie pociagnie.


No i tu się mylisz !!!!!

Pokazuje wiecej niz masz w max-limit !!! _________________ Life is brutal i full zasadzkas ;/

www.isko.net.pl http://gry.isko.net.pl https://voip.isko.net.pl Teamspeak: gry.isko.net.pl:8787

Czang


Witam!

Ja to robie tak:

Wycinam cały transfer po protokole UDP (Ares chodzi na UDP) oprócz portu 53 dla danego IP (widze kto przekracza limit)

Pozdrawiam CoLiN


Gularz nie ma bata. Umnie limituje. Tylko tam w total max limit napisz np.256k a nie 256k/64k Musi ciac

Bary


z wycinaniem udp ostroznie bo na nim działaja voip Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email zorro


CoLiN napisał: Gularz nie ma bata. Umnie limituje. Tylko tam w total max limit napisz np.256k a nie 256k/64k Musi ciac


nie prawda !!!! to ograniczenie nie zatrzyma aresa !!

zorro napisał: CoLiN napisał: Gularz nie ma bata. Umnie limituje. Tylko tam w total max limit napisz np.256k a nie 256k/64k Musi ciac


nie prawda !!!! to ograniczenie nie zatrzyma aresa !!


jak nie, jak tak ? _________________ http://www.teamspeak2.pl http://www.fotoszok.pl - wrzuc foty za darmo http://www.chlewik.pl - śmieszności http://www.gadu-opisy.pl - opisy do gadu

CoLiN


U mnie jakoś zatrzymuje ;] Dziwne ze u Ciebie nie chce ;]

zorro



a jaka mcie wersje mt ??

CoLiN


2.9.6

mario1973


lepiej nie przyznawaj się do tej wersji......chyba nie powiesz, że jest legal....ostatnio na jednym RB znalazłem u siebie takową wersję (legal) i bez problemu zrobiłem update do najnowszej. _________________ http://www.teamspeak2.pl http://www.fotoszok.pl - wrzuc foty za darmo http://www.chlewik.pl - śmieszności http://www.gadu-opisy.pl - opisy do gadu

zuhjk


Ja też mam problemy, paru klientów zapieprza mi cały upload i ma gdzieś limity. Może faktycznie najnowsza wersja coś zmieni.

zorro


raczej nic nie da zmiana wersji ja mam 2.9.27 i też nie działają limity Sad nie mam już głowy jak jest ktoś kto wie jak się z tym uporać to prosze o pomoc bo ja wymiękam

Gularz_pl1


mam cała paletę wersji i jakośna kazdej mi wycina aresa nie wiem jak wy to robicie Smile _________________ Life is brutal i full zasadzkas ;/

www.isko.net.pl http://gry.isko.net.pl https://voip.isko.net.pl Teamspeak: gry.isko.net.pl:8787

Dawid Prowadzisz


Wycina, czy ogranicza? To kluczowe pytanie.

Najnowsze p2p, mają nieszyfrowany ruch, tylko podczas łączenia z serwerami (w końcu jakoś trzeba przesłać ten klucz), dlatego można całkowicie wyciąć ich ruch i program się nie połączy. Nie można natomiast ograniczać ich prędkości, bo pozostałe dane lecą już zaszyfrowane i umykają markowaniu (mangle). _________________ forum.oallegro.pl

Kiepura Site Admin


Postanowiłem że wyróżnię ten temat bo informacje w nim zawarte będą cenne dla nowych użytkowników.

Pozdrawiam

Robert_X


Bardzo ciekawe efekty daje zablokowanie pakietu udp o wielkości powyżej 1500 bajtów szczególnie na Aresa , download spada bynajmniej mi o jakieś 70%

Dawid Prowadzisz


Dziwne, bo największy pakiet w sieciach ethernet, to 1500B (MTU), więc taka blokada raczej nic nie daje. _________________ forum.oallegro.pl

mcozio


a jak zablokowac pakiety wiecj niz 1500 ?

Dawid Prowadzisz


Pcket Size=1-1500 accept. Wszystko drop. _________________ forum.oallegro.pl

Robert_X


Dawid Prowadzisz napisał: Dziwne, bo największy pakiet w sieciach ethernet, to 1500B (MTU), więc taka blokada raczej nic nie daje.

Zdziwiłbyś się ile tego badziewia blokuje się i jak drastycznie Ares obniża download


Moja skuteczna metoda na adres to

linux

iptables -I FORWARD -m length --length 1501:65535 -j REJECT

iptables -I FORWARD -p tcp --dport 0 -j DROP

iptables -I FORWARD -p udp --dport 0 -j DROP

iptables -I FORWARD -m ipp2p --ares -j DROP

W MT można w firewall zrobić regułkę drop na port 0 (zero)

Po tym zabiegu ares i utotent nie rozpędzi sie więcej jak 25kb

Pozdrawiam

Slaw3k

Ja stosuje coś takiego: 

 ;;; Pakiety większe od od 1500 drop
    chain=forward action=drop packet-size=!0-1500 

 ;;; blokowanie udp u ludzi z aresem
    chain=forward action=drop src-address-list=Ares-udp src-port=!53 
    dst-port=!53 protocol=udp 

  ;;; WYLAPANIE OSOBY Z ARESEM I DODANIE DO LISTY
    chain=forward action=add-src-to-address-list address-list=Ares-udp 
    address-list-timeout=30m layer7-protocol=ares 

 chain=forward action=add-src-to-address-list p2p=warez 
    address-list=Ares-udp address-list-timeout=40m 

 chain=forward action=add-src-to-address-list address-list=Ares-udp 
    address-list-timeout=1h dst-port=0 protocol=udp 

;;; Blokada Portu 0 UDP ares
    chain=forward action=drop dst-port=0 protocol=udp 

 ;;; P2P-all
    chain=forward action=drop p2p=all-p2p

Metoda jest tak jeśli wykryje aresa UDP zostanie odcięte. 

I już za dużo nie pościąga, a po godzinie nie używania wszystko wróci do normy.

Pozdrawiam Suppressor

Źródło „http://mikrotik.net.pl/wiki/Blokowanie_Ares_Utorrent_i_innych_szyfrowanych_wynalazk%C3%B3w