Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #13

    Padrão

    ola Pro2,

    Pela linha de comando faça o seguinte:

    /ip firewall filter add chain=forward out-interface=Link src-address=172.16.0.0/16 protocol=tcp \
    dst-port=1024-1861 action=add-dst-to-address-list address-list=black_list \
    address-list-timeout=1d comment="Marcas Uso Portas Altas - By Josevaldo" disabled=no

    Com essa regra estamos mandando para a black_list os ip de destino q nossa rede 172.16.0.0/16 tentar acessa com as portas altas, nesse exemplo a ranger 1024-1861.

    Agora vamos bloquear a black_list com essa outra regra:

    /ip firewall add chain=forward dst-address-list=black_list action=drop comment="Bloqueio \
    Host p2p e Derivados - By Josevaldo" disabled=no

    vá criando as ranges de ip lá em cima, de acordo com tua utilização de rede...
    []'s
    Josevaldo

  2. #14

    Smile

    Exelente, mais eu não acho uma boa fazer bloqueio de trafego p2p para provedores de acesso, com certesa o cliente vai ligar para o suporte e reclamar que não consegue conectar e nem baixar nada no p2p. O bom mesmo e fazer controle destas praga.



    Citação Postado originalmente por Josevaldo Ver Post
    ola Pro2,

    Pela linha de comando faça o seguinte:

    /ip firewall filter add chain=forward out-interface=Link src-address=172.16.0.0/16 protocol=tcp \
    dst-port=1024-1861 action=add-dst-to-address-list address-list=black_list \
    address-list-timeout=1d comment="Marcas Uso Portas Altas - By Josevaldo" disabled=no

    Com essa regra estamos mandando para a black_list os ip de destino q nossa rede 172.16.0.0/16 tentar acessa com as portas altas, nesse exemplo a ranger 1024-1861.

    Agora vamos bloquear a black_list com essa outra regra:

    /ip firewall add chain=forward dst-address-list=black_list action=drop comment="Bloqueio \
    Host p2p e Derivados - By Josevaldo" disabled=no

    vá criando as ranges de ip lá em cima, de acordo com tua utilização de rede...
    []'s
    Josevaldo



  3. #15

    Padrão Fazendo Como Sugerido Pelo Amigo Oyama

    Gente lendo a posição de nosso colega percebi que realmente bloquear os p2p geral pode causar mais problemas que soluções então vamos fazer o seguinte:
    1º Continuamos a marcar todo o trafego das portas altas, exceto as de serviços já conhecidos (msn, cache, e outros quaisquer).
    2º Adicionamos uma regra no mangle para marcar os pacotes q tiver destino aos ips contidos na black_list (esse nome pode ser mudado de acordo com o gosto/opção), eis a regra:

    /ip firewall mangle add chain=prerouting dst-address-list=black_list action=mark-packet \
    new-packet-mark=host_p2p passthrough=yes comment="Host p2p - By Josevaldo" disabled=no

    3º Limitamos os pacotes que foram marcados e taí, todos os p2p estarão definitivamente controlados (nem só os p2p, bem como todos os programas que utilizarem as portas setadas pelos admin na regra citada nas respostas anteriores). eis a regra:

    /queue add name="host_p2p" dst-address=0.0.0.0/0 interface=all parent=none \
    packet-marks=host_p2p direction=both priority=8 queue=default/default \
    limit-at=64000/64000 max-limit=64000/64000 total-queue=default-small \

    Obs.: Dessa forma estaremos limitando o trafego a 64kb, façam as devidas adaptações para tua rede.
    []'s
    Josevaldo

  4. #16

    Padrão

    tentei adicionar essa regra
    /ip firewall mangle add chain=prerouting dst-address-list=black_list action=mark-packet \
    new-packet-mark=host_p2p passthrough=yes comment="Host p2p - By Josevaldo" disabled=no
    mais o meu mk nao deu a opcao passthrough=yes o que pode ser?



  5. #17

    Padrão

    Josevaldo
    Interessante as suas idéias.

    E mais ainda a separação das portas.
    Mas já que você deixou algumas portas de fora da marcação, gostaria de saber se você conhece quais recursos são utilizados nas portas que você deixou a folga. Conhecendo cada uma, será possivel retirar ou incluir algo se algum cliente reclamar.

    1024-1861
    folga as: 1862 a 1864? o que tem nelas?
    1865-2081
    folga: 2082 -
    2083-3125
    folga: 3126 -
    3127-3305
    folga: 3306 -
    3307-3455
    folga: 3456 -
    3457-7000
    folga: 7001
    7002-8290
    folga: 8291
    8292-8442
    folga: 8443
    8444-49999
    folga: 50000 a 50002
    50003-65535

    E quanto as UDP´s pode limitar todas?
    1024-65535 (UDP)

  6. #18

    Padrão

    Fiz alguns testes e gostaria de discutir com vocÊs.

    Na sugestão passada anteriormente, a sugestão era marcar as portas que eram direcionadas a porta de destino. O certo não deveria ser as portas de origem do nosso cliente (src)?

    Outra dúvida: Ao inves de criar um filter rules com as portas, gravando num ADDRESS List, e depois fazer um Mangle pegando essa Address, marcando o pacote para algum nome qualquer e depois o Queue,
    não daria para fazer tudo no MAngle, ja que ele tem a opção de definir as portas assim como no Filter Rules?