bittorenty a filtry na P2P jsou out

[pepulis]

este jedna vec... uz mam z toho haluze.
ip adresy ktore sa dostanu do dynamickeho address listu po prekroceni dovoleneho poctu spojeni dalej obmedzujem s blokovanim portov... aspon by som chcel.
Vo firewalli mam rozpisane vsetky porty pre dany address list, ako vidno na obrazku vyssie... ale nezaznamenava mi to pakety, vlastne sa zda ako keby to nebolo dobre nastavene, nezachytava to ani web stranky... takto mam nastavene napriklad sledovanie 80 portu pre ip adresy z dynamickeho address listu. Mam to dobre?

Nemelo by to byt spise jako src adress list ?

Taky jsem zkousel blokovat vsechny UDP porty krome povolenych (80,53 atd.) a taky prestaly jet stranky lidem, treba ICQ jim jelo, ale stranky nenajizdely.

[mato1]

Nemelo by to byt spise jako src adress list ?[/quote]

nie, pokial ja viem tak nie... ale pre istotu som to skusil. stale rovnako. ale mam tam este na konci jedno pravidlo, kde nie je zapisany konkretny port. Proste len zvolene TCP spojenia a tam zachytava vsetko... tam sa da vidiet ze to zachytava pakety

tak kde je chyba? uz som zufaly...

[raven-il]

Nemelo by to byt spise jako src adress list ?

nie, pokial ja viem tak nie... ale pre istotu som to skusil. stale rovnako. ale mam tam este na konci jedno pravidlo, kde nie je zapisany konkretny port. Proste len zvolene TCP spojenia a tam zachytava vsetko... tam sa da vidiet ze to zachytava pakety

tak kde je chyba? uz som zufaly...

Neumels bys dat verejnou IP a demo ucet ? Celkem bych se na to mrknul...

[mato1]

Nemelo by to byt spise jako src adress list ?

nie, pokial ja viem tak nie... ale pre istotu som to skusil. stale rovnako. ale mam tam este na konci jedno pravidlo, kde nie je zapisany konkretny port. Proste len zvolene TCP spojenia a tam zachytava vsetko... tam sa da vidiet ze to zachytava pakety

tak kde je chyba? uz som zufaly...

Neumels bys dat verejnou IP a demo ucet ? Celkem bych se na to mrknul...

mam dhcp, ale par dni sa to drzi... dam zajtra, dnes sa mi uz nechce

[mato1]

Taky jsem zkousel blokovat vsechny UDP porty krome povolenych (80,53 atd.) a taky prestaly jet stranky lidem, treba ICQ jim jelo, ale stranky nenajizdely.

tak jak to riesit??? pan skrebon to ma udajne riesene tymto sposobom... mohli by ste nam nejak pomoct?

[skrebon]

prichodzie rozhranie LAN, potom src. address list pridavat do address listu dynamicky a dalsim pravidlom z prichodzim rozhranim LAN blokovat v source address address list urceny na to.

Ci tam je definicia protokolu, dlezite nie je. Skor tam nic nedavajte, lebo to nejako pokazite

[Radoko77]

pokial som dobre videl port 53 si povolil na TCP a tu podtrebujes prave UDP, inak ti neprelozi DNSko stranky .... spoznas to jednoducho, ping ti bezi ale stranky nie

[vmedek]

čekám že za to blokování UDP vám lidi nepoděkují. Třeba pokud budou chtít používat VoIP - u SIP jsou pro RTP používány porty UDP 10000 - 20000

[mato1]

pokial som dobre videl port 53 si povolil na TCP a tu podtrebujes prave UDP, inak ti neprelozi DNSko stranky .... spoznas to jednoducho, ping ti bezi ale stranky nie

UDP mam blokovane inde... zopar portov mam povolenych a 53 udp je tiez povolena... takze kde je potom chyba? chce to nejaky port medzi 444-1862, ale nechcelo sa mi uz hladat ktory

[raven-il]

čekám že za to blokování UDP vám lidi nepoděkují. Třeba pokud budou chtít používat VoIP - u SIP jsou pro RTP používány porty UDP 10000 - 20000

Tohle treba resim tak, ze jim davam na tel. separatni linku.

[mato1]

prichodzie rozhranie LAN, potom src. address list pridavat do address listu dynamicky a dalsim pravidlom z prichodzim rozhranim LAN blokovat v source address address list urceny na to.

Ci tam je definicia protokolu, dlezite nie je. Skor tam nic nedavajte, lebo to nejako pokazite

no ja uz naozaj neviem co s tym mam robit, sprava sa to podla nalady... napriklad som vypnut definiciu protokolu pri povolovani portu 53 udp a zrazu stranky nabehli - ale zacalo aj stahovanie plnou rychlostou. Je to mozne ze ak vypnem definiciu na jednom porte, tak to robi toto???
nevie mi niekto napisat ktore TCP a ktore UDP porty treba mat povolene aby to slapalo tak ako ma???

dufam ze ma v tomto mikrotik nesklame, ved obmedzovanie podla portov som robil aj na obycajnom keriovi, monowalli a na dalsich distribuciach v minulosti... zeby s tym mal problem akurat MIKROTIK???

[mato1]

no a mam to... vrela vdaka Skrebonovi za jeho demo. Tam to mal pekne spravene. funguje vynikajuco... ide len to co povolite a funguje aj na blokovanie neznamych p2p, odskusane. Musite uznat, ze ani p2p nevie ist vylucne po 80 porte. A ked aj trocha cez ten port pretece, tak to zdaleka nie je take hrozne ako keby to slapalo plnou rychlostou.
keby niekto chcel pomoct, tak kludne napiste, hodim sem obrazky a pripadne zopar viet. Skrebon casto nema cas, je asi dost zaneprazdneny

este raz dakuje Skrebon

[raven-il]

no a mam to... vrela vdaka Skrebonovi za jeho demo. Tam to mal pekne spravene. funguje vynikajuco... ide len to co povolite a funguje aj na blokovanie neznamych p2p, odskusane. Musite uznat, ze ani p2p nevie ist vylucne po 80 porte. A ked aj trocha cez ten port pretece, tak to zdaleka nie je take hrozne ako keby to slapalo plnou rychlostou.
keby niekto chcel pomoct, tak kludne napiste, hodim sem obrazky a pripadne zopar viet. Skrebon casto nema cas, je asi dost zaneprazdneny

este raz dakuje Skrebon

Urcite by se siklo, hod sem neco... thx

[mato1]

ok, tak to spravim formou obrazkov, aby to chapali aj ty menej chapavy

obmedzime pocet spojeni tcp spojeni... (zvlast pravidlom obmedz aj p2p spojenia) na 200 a po prekroceni ich hodime do dynamickeho address listu.



nasledujuce pravidlo asi nemusim vysvetlovat, jump na vytvoreny chain.



a na dalsom obrazku vidiet porty ktore su povolene. nezabudnite na posledny port ktory vsetko ostatne zakaze!!!



Zatial testujem, ide to bez problemov... uvidime ako sa to bude spravat niekolko dni v prevadzke...

[raven-il]

Mozna bych z toho jen vyhodil port 443, coz je windowsi netbios hojne vyuzivany ruznymi viry a jednim z redmontu...