Ну когда мы начинали, три года назад, RB1100AH у нас не было. Зато нам попалась в руки ПК-версия MikroTik 3.хх, мы её на ящик поставили, на ней и настраивали.
Сейчас имеем шлюз на фряхе, + сервера на микротике. К последним сейчас пытаемся прикрутить Radius и UTM, т.к. количество абонов уже таково, что пора всё автоматизировать.
В данное время нам проще пропускать траф как есть, согласно тарифа, чем чего-то блокировать и резать.

Решил пока временно поставить затычку
-A FORWARD -s 192.168.182.1/12 -p tcp --syn -m connlimit --connlimit-above 30 -j DROP

Василий, вопрос есть- почему именно utm?

Потому, что он сертифицирован. Кроме того, с ним многие провайдеры работают, его многие знают, всегда есть с кем посоветоваться.

В смысле?-)

Затычки эти делают только хуже. Apache-то отдаёт только несколько потоков, но этот IP-то
всё-равно остальными потоками ломится. Соединения висят в остоянии
ожидания, потом рвутся, потом опять новые соединения. Есть решения? iptables должен ведь уметь что-то.

iptables v1.4.4:

Как оказалось- 2 человека успешно создают 1000 сессий. При 5 P2P-абонах нетстат показывает отброшенные провом пакеты. Как мне урезать этих абонов средствами iptables?? Ставить изза этого микротик, когда есть файрволл на серваке?

Пока я не введу ограничение на количество одновременных соединений- будет полная жопа
С моим провайдером ограничивать сессии клиентам НУЖНО.

На форуме нет человека сильного в iptables?

ну в родном фаерволе я нуб ну по логике у вас ТС стоит линукс а если линукс то можно поставить ufw-это облегченная оболочка ИП-таблиц и с ним проще бороться и на него мануалов в просторах просто хоть лопатой кидай)

Если бороться с торентом хотя бы элементарными методами то это подрезать порты....
/ip firewall filter
add action=drop chain=forward comment="Drop UDP" \
disabled=no dst-port=!21-25,443-9999 protocol=udp
Можно добавить в address-list конкретно ип адреса клиентов которым предназначено ограничение добавив в Advanced- >
src-address-list=\UDP_drop

add address=192.168.1.100 comment="" disabled=no list=UDP_drop
Ликвидировать его главный приоритет - неконтролируемый UDP трафик, заставив работать на TCP и ударить по нему малокалиберной артилерией : connection-limit !!!!
/ip firewall filter
add action=accept chain=forward comment="Rasresh koll connekt 59" \
connection-limit=59,32 connection-state=new disabled=yes protocol=tcp \
src-address=192.168.1.0/24 tcp-flags=synadd action=drop chain=forward comment="Sapret connekt 60" connection-limit=\
60,32 connection-state=new disabled=yes protocol=tcp src-address=\
192.168.1.0/24 src-address-list=UDP_drop tcp-flags=syn

add action=drop chain=forward comment="torrent- drop" disabled=no p2p=\
bit-torrent
Это один из методов...
Хотя, чтоб кому то удалось полностью победить торрент я еще не слышал... По крайней мере на микротике. Но уменьшить его влияние на общую обстановку я думаю можно и микротиком. И что главное - вариантов борьбы с ним очень много... В теме об микротиках об этом уже упоминалось.... Помню, писали александров и другие.... Но чтоб выбрать что то, нужно прочитать всю тему об микротиках.

Но для такого грозного противника слабых и особенно безпроводных сетей, как торрент я бы уже выделил отдельную тему, где бы поделились своими методами борьбы и другие админы сетей ... И с них бы можно было выбрать более конкретный вариант каждому.

uraso, спасибо Вам огромное!

катать ацесс листы и ловить пакеты содержащие известные сигнатуры..

rооt

Какой у вас микротик ? Этот скрипт работает на RB750 . То есть самом слабом.

Ищем и блокируем http-запрос. Для этого создадим новый L7-protocol и в правилах фаервола запретим проходящий трафик, попадающий под новые правила:

/ip firewall layer7-protocol add comment="" name=torrent-wwws regexp="^.*(get|GET).+ torrent|thepiratebay|isohunt|entertane|demonoid|bt junkie|mininova|flixflux|torrentz|vertor|h33t|btsc ene|bitunity|bittoxic|thunderbytes|entertane|zoozl e|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flix flux|seedpeer|fenopy|gpirate|commonbits).*$" /ip firewall filter
add action=drop chain=forward comment="block torrent wwws" disabled=no layer7-protocol=torrent-wwws

Ищем и блокируем dns запросы на известные торрент трекеры. Создадим еще один L7-protocol

/ip firewall layer7-protocol
add comment="" name=torrent-dns regexp="^.+(torrent|thepiratebay|isohunt|entertane |demonoid|btjunkie|mininova|flixflux|torrentz|vert or|h33t|btscene|bitunity|bittoxic|thunderbytes|ent ertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldl s|btbot|flixflux|seedpeer|fenopy|gpirate|commonbit s).*\$"

И заблокируем проходящий трафик:
/ip firewall filter
add action=drop chain=forward comment="block torrent dns" disabled=no dst-port=53 layer7-protocol=torrent-dns protocol=udp

Но уже немного возрастает нагрузка на проц.

750 у меня тоже есть один, будем пробовать...

Есть ряд отрицательных моментов перевода на работу торрента через TCP протокол. Долго снюхивается, но это не самое важное. Бывает что не качает на полную скорость, иногда вообще не качает. Порты, которые вы блокируете,возможно попадут в среду портов для игр, или же других приложений, Затем пойдут звонки типа, почему у меня не работает эта программа или игра. Придется все эти порты добавлять в разрешающее правило фаервола. Да и на практике я не заметил прироста производительности при переводе торрента на TCP, и редактирования параметра connection limit. Главное - приоритеты по типу траффика. Настройте правильно и все заработает намного быстрее.

Haver
А я не писал что это панацея от торрентов!!!!

Вам карты в руки!!!!! У вас стоит на RB с приоритетами? Приведите работающий живой пример с приоритетами.... Посмотрим , установим, обсудим....

У меня вообще то по устной договоренности торренты запрещены .... И большинство пользователей довольны. Фильмы онлайн идут, странички открываются быстро. А вот кто лезет с торрентом в час пик , вечером, получает в адрес-листе UDP_drop .... И что особенно интересно, заядлые торрентщики, что не могли без него обходится , быстро понаходили ему альтернативу - файлобменники. Если надо что то скачать торрентом - качай ночью. У нас пока провайдерский канал взять негде. И поэтому пока торрент вне закона. Будет может быть такой канал как у Василий386 тогда и отпадет это все само собой.

/ip firewall mangle
add action=accept chain=prerouting comment=router-admin disabled=no \
dst-address=192.168.2.1 dst-port=22,23,53,80,443,8291 protocol=tcp
add action=jump chain=prerouting comment="2 qos" disabled=no jump-target=qos
add action=mark-connection chain=qos comment=icmp disabled=no \
new-connection-mark=qos-icmp passthrough=yes protocol=icmp
add action=mark-packet chain=qos comment=icmp disabled=no new-packet-mark=\
qos-icmp passthrough=no protocol=icmp
add action=mark-connection chain=qos comment=qos-http-down connection-bytes=\
500000-0 disabled=no dst-port=\
20,21,22,25,80,110,143,443,993,995,3128,8080 new-connection-mark=\
qos-http-down passthrough=yes protocol=tcp
add action=mark-packet chain=qos comment=qos-http-down connection-mark=\
qos-http-down disabled=no new-packet-mark=qos-http-down passthrough=no \
protocol=tcp
add action=mark-connection chain=qos comment=qos-http-req connection-bytes=\
0-500000 disabled=no dst-port=22,23,53,80,443,3128,8080,5190 \
new-connection-mark=qos-http-req passthrough=yes protocol=tcp
add action=mark-packet chain=qos comment=qos-http-req connection-mark=\
qos-http-req disabled=no new-packet-mark=qos-http-req passthrough=no \
protocol=tcp
add action=mark-connection chain=qos comment=qos-games disabled=no dst-port=\
5222,6881,7777,8080,9987,17453,27010-27037,39190,29890,40000-40009 \
new-connection-mark=qos-games passthrough=yes protocol=udp
add action=mark-connection chain=qos comment="" disabled=no dst-port="1111,390\
0-3920,7779,7773,9565,10011,20013,20014,20018,22003, 22050,30033,32801-3282\
5" new-connection-mark=qos-games passthrough=yes protocol=udp
add action=mark-connection chain=qos comment="" disabled=no dst-port="2003,787\
8,8282,3051,3001,3101,3102,27242,3659,3658,9000-9999,111,32769,892" \
new-connection-mark=qos-games passthrough=yes protocol=udp
add action=mark-connection chain=qos comment="" disabled=no dst-port=\
875,662,31928,5222,5223,1513 new-connection-mark=qos-games passthrough=\
yes protocol=udp
add action=mark-packet chain=qos comment=qos-games connection-mark=qos-games \
disabled=no new-packet-mark=qos-games passthrough=no protocol=udp
add action=mark-connection chain=qos comment=qos-any-traffic disabled=no \
new-connection-mark=qos-any-traffic passthrough=yes
add action=mark-packet chain=qos comment=qos-any-traffic connection-mark=\
qos-any-traffic disabled=no new-packet-mark=qos-any-traffic passthrough=\
no
/queue type
add kind=pcq name=pcq-upload pcq-classifier=src-address pcq-limit=50 \
pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=pcq_down pcq-classifier=dst-address pcq-limit=100 pcq-rate=\
0 pcq-total-limit=2000

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=45M name=total_down parent=ether2 priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=total_up parent=ether1 priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=10M \
max-limit=45M name=torrents packet-mark=qos-any-traffic parent=total_down \
priority=8

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=icmp packet-mark=qos-icmp parent=total_down priority=1 \
queue=pcq_down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=games packet-mark=qos-games parent=total_down priority=2 \
queue=pcq_down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=http_req packet-mark=qos-http-req parent=total_down \
priority=3 queue=pcq_down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=http_down packet-mark=qos-http-down parent=total_down \
priority=4 queue=pcq_down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=torrents_up packet-mark=qos-any-traffic parent=total_up \
priority=8 queue=pcq-upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=games_up packet-mark=qos-games parent=total_up priority=\
2 queue=pcq-upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=icmp_up packet-mark=qos-icmp parent=total_up priority=1 \
queue=pcq-upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=http_down_up packet-mark=qos-http-down parent=total_up \
priority=7 queue=pcq-upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=http_req_up packet-mark=qos-http-req parent=total_up \
priority=2 queue=pcq-upload
Пробуйте