controle de banda para p2p e todo tipo de torrent

Relembrando a primeira mensagem :

oi galera quero saber como fazer,um controle de banda para limitar o p2p full e torrent full

para controla na minha rede pois tem alguns clientes que não tem noção

o quero fazer e o seguinte quero limitar a banda das conexões de entrada de p2p e torrent.

e bloquea as conexões de saida ou seja o cliente so vai baixa o arquivo em uma determinada velocidade.

mas porem não vai ser enviado nada para a rede externa.

aguardo suas opiniões

hehe realmente e bom se atentar ai e rever direitinho pois nao funciona nao ..alguns ele pega mas ocilando e outros passa direto ...depois vou passar um material interessante para leitura e tirarem essa duvida ok

heheh essa regra do p2p nó tempo da minha vó devia funciona hoje em dia fico obsoleto p2p trabalha criptografado intao fica difcil a leitura do mk consegue analizar o pacote e consegui controla negocio é sentar e chorar pq tambem ja testei varias soluções e nenhuma deu certo

claudinhohw escreveu:tbm uso essa ai e nunca tive problemas não...

tem um explicaçao ..as regras estao ai batendo nas portas ...la em queues tree pode observar que fica vermelho mais a banda passa do limite que colocou uma ela sobe outra baixa mas nunca fica ali travado ...

Humm...
Acho que achei um meio de domar o utorrent. Estou testando para ver se não afeta outras coisas.

ZBTECK escreveu:Humm...
Acho que achei um meio de domar o utorrent. Estou testando para ver se não afeta outras coisas.

BLZ zbteck...qualquer coisa posta ai a forma para juntos chegarmos uma soluçao e ajudar a testar ok por que ja quebrei a cuca ontem a noite e hj ja to pegado aqui denovo hehe..disponha!!!

Todos os P2P usam hoje o UDP, e pra quem não sabe, mikrotik no controle de banda do usuario "NAO CONTROLA UDP" (não so mikrotik mas quase todos os sistemas tcp based).
A saida pra não ter problemas com consumo excessivo de banda é fazer um shapping.

/ip/firewall/mangle
add action=mark-connection chain=prerouting comment="===== P2P" disabled=no dst-port=!53 new-connection-mark=\
UDP-P2P passthrough=yes protocol=udp src-port=!53
add action=mark-packet chain=prerouting comment="" connection-mark=UDP-P2P disabled=no new-packet-mark=UDP-P2P \
passthrough=no

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=512k name=UDP-P2P \
packet-mark="UDP-P2P" parent=global-out priority=8 queue=default

int21 escreveu:Todos os P2P usam hoje o UDP, e pra quem não sabe, mikrotik no controle de banda do usuario "NAO CONTROLA UDP" (não so mikrotik mas quase todos os sistemas tcp based)...

Exatamente isso que percebi anteriormente. A maioria é udp, foi só controlá-las e o utorrent ficou sob dominio.

O que esse código faz é generalizar tráfego UDP, aplicando uma única exceção. O código pega tudo que não é DNS (veja o dst-port=!53) e trata como P2P! Uma ação generalista, que afeta, por exemplo, o protocolo NTP (Network Time Protocol), que atual na porta 123 UDP.

Por isso, estava testando para ver se afetaria algo. Mais como só está controlando (não dropando), até agora, sem problemas.

A regra funciona mas não destinada a P2P, para ter uma idéia dos serviços que estão sendo atigindos,segue os comandos:

No windows Microsoft.

findstr /I udp %windir%\system32\drivers\etc\services

BSD-Like ou distribuição GNU/Linux.

grep udp /etc/services

jailtonnetlink escreveu:O que esse código faz é generalizar tráfego UDP, aplicando uma única exceção. O código pega tudo que não é DNS (veja o dst-port=!53) e trata como P2P! Uma ação generalista, que afeta, por exemplo, o protocolo NTP (Network Time Protocol), que atual na porta 123 UDP.

Pois é mas ele não bloqueia nada, a ideia é controlar banda UDP uma vez que ela não tem priori na navegação em se tratando de provedores certo. Onde esta o erro ??

Outra coisa, pode se adicionar mais portas para não serem pegas pela regra ex:
src-port=!53,123,1024-5000
^ ^ ^
| | |______ Range
| |_____________ Porta
|________________ Porta

int21,é uma resposta muito ampla, mas vou sintetizar de forma bem simples. Vou
considerar a restrição geral de UDP (exceto 53) em provedores, que
vendem planos aos respectivos clientes. O que podemos encontrar em
clientes:

Cenário 1:
O cliente jogando Combat Arms[1], da Nexon[2]. O jogo usa algumas portas TCP, e várias outras UDP[3].

Cenário 2:
O cliente estabeleceu um túnel L2TP[4]. Usa as portas 1701, podendo também usar 500 e 4500 (vide IKE, IPSec,...).

Cenário 3:
O cliente conversando com seus contatos, usando VoIP[5]. Com exceção da 5060 (ou 5061) TCP, todas as demais portas são UDP.

Agora imagina tratar tudo isso como P2P, como a regra propôs (aquela do "exceto 53"). É ser muito generalista.

Tem o caso do NTP, já citado antes. Mesmo que o protocolo NTP tenha uma estimativa de correção de frequência de erro (drift file), isso não significa poder "penalizar" esse serviço, com base no "P2P generalista".

Espero ter ajudado.

[1] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[2] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[3] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[4] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
[5] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

int21 escreveu:

jailtonnetlink escreveu:O que esse código faz é generalizar tráfego UDP, aplicando uma única exceção. O código pega tudo que não é DNS (veja o dst-port=!53) e trata como P2P! Uma ação generalista, que afeta, por exemplo, o protocolo NTP (Network Time Protocol), que atual na porta 123 UDP.

Pois é mas ele não bloqueia nada, a ideia é controlar banda UDP uma vez que ela não tem priori na navegação em se tratando de provedores certo. Onde esta o erro ??

Outra coisa, pode se adicionar mais portas para não serem pegas pela regra ex:
src-port=!53,123,1024-5000
^ ^ ^
| | |______ Range
| |_____________ Porta
|________________ Porta

Esta vendo vamos chegar a um progresso.

isso ai!

galera esta regra não esta funcionando aki
o torrent e p2p continua ja mudei o protocolo pra udp e nada
continua passando este protocolos sem limitação

ela e complementar a outra regra ja postada ,ao meu ver, pois ela faz um controle de banda nas portas udp ...mas se reparar no utorrent ainda esta com a velocidade acima do controle mesmo deixando com 10k.
esta regra e bom deixar claro que afeta muitos serviços e tem que se mapear as portas dos serviços essenciais para ficar de fora do controle ,pois pode afetar e prejudicar ,isso de acordo com seu provedor pois muitos se utilizam desse controle afim de economia de link ,mas quando isso se resolver e dependendo do perfil dos usuarios ,tem que ser retirado essa regra para que na haja descontentamento por partes destes clientes.


um dos principais fatores e serviços que podera ser prejudicado ,e isso ,ja analizei hj aqui no laboratorio sao os voip, voip ja sofre tanto com os jitter que sao atrasos na rede que prejudicam a comunicaçao dando aquele efeito de voz pipocando e cortando, imagine vc controlar a banda passante deles ...entao fica o alerta para o uso dessa regra ,deve se evitar controlar algumas portas de serviços essenciais .

galera segue uma regla pra limitar conexiones TCP, UDP y P2P:, testen y falen si deu certo......


/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn

add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp

add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp

staradolfo escreveu:galera segue uma regla pra limitar conexiones TCP, UDP y P2P:, testen y falen si deu certo......


/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn

add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp

add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp

testei e não funciona

william escreveu:

staradolfo escreveu:galera segue uma regla pra limitar conexiones TCP, UDP y P2P:, testen y falen si deu certo......


/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn

add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp

add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp

testei e não funciona

usa esse não tem erro:

Código:

/ip firewall mangle
add action=mark-connection chain=prerouting comment=P2P_IN disabled=no \
new-connection-mark=conn_p2p_in p2p=all-p2p passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting connection-mark=conn_p2p_in disabled=no \
new-packet-mark=p2p_in passthrough=no
add action=mark-connection chain=postrouting comment=P2P_OUT disabled=no \
new-connection-mark=conn_p2p_out p2p=all-p2p passthrough=yes protocol=tcp
add action=mark-packet chain=postrouting connection-mark=conn_p2p_out disabled=\
no new-packet-mark=p2p_out passthrough=yes



/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=100k name=p2p_in packet-mark=p2p_in parent=global-in priority=8 \
queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=100k name=p2p_out packet-mark=p2p_out parent=global-out priority=\
8 queue=default

staradolfo escreveu:galera segue uma regla pra limitar conexiones TCP, UDP y P2P:, testen y falen si deu certo......


/ip firewall filter
add action=drop comment="Limitar Numero de conexiones TCP para cada cliente (32)" chain=forward connection-limit=80,32 disabled=no protocol=tcp tcp-flags=syn

add action=drop comment="Limitar Numero de conexiones UDP para cada cliente (32)" chain=forward connection-state=new disabled=no dst-port=!53,67 limit=30,150 protocol=udp

add action=drop comment="Limitar Numero de conexiones P2P para cada cliente (32)" chain=forward connection-limit=10,32 connection-state=new disabled=no p2p=all-p2p protocol=tcp

pessoal antes de sair Ctrl c e Ctrl v ...entenda a regra para que funciona e como ela vai agir...essa regra do amigo ela vai limitar as conexoes udp tcp e p2p para cada cliente menos as portas ( !53,67),ao meu ver ela nao se aproveita tbm pois limitar isso prejudicara os clientes e muito ...

E a regra ja postada tbm nao funciona...

tein que estar depois de testes meus, a regla da udp en 60 pra uma voa navegaçao de clientes

er uma mão na roda.. isso ai..

Limitar a quantidade de conexões UDP não é possível, isso é fato.
Limitar a velocidade é possível, porém a criptografia ( Obfuscation ) complicou bastante as coisas, pois a criptografia além de mascarar o tipo de conexão para o Layer7, ainda usa aleatóriamente conexões TCP e UDP, sem qualquer tipo de lógica.
Existem 2 únicas opções viáveis:
1a. Limitar a velocidade.
Para isso é necessário cercar o máximo possível, marcando o que dá pra marcar no mangle, ou seja:
- Bit-Torrent L7
- UDP (Porta 1024-65535 - Bytes 576-65535)
- all-p2p


Essa regra pega tudo que não for criptografado, e algumas coisas criptografadas pela regra UDP. Para incrementar essa regra, a unica solução é marcar todo o tráfego "do bem" no Mangle, de depois de tudo, como ultima regra, fazer o mangle pegar o que não for "do bem" e limitar. Uma regra simples de "tráfego restante". Mas lembre-se, antes dessa regra é preciso marcar o maior numero de coisas que não devem cair nessa regra.


2a. Bloquear a Conexão.
Essa regra impede a conexão dos programas, se eles não conectam, não baixam. Essa regra é complexa, é regra de "drop" e é a única capaz de impedir o Ares. Porém, pelo fato dela ser extremamente intrusiva, requer que algumas excessões sejam aplicadas antes do "drop all". Bom ao contrário da anterior, esta age no Filter, e não no Mangle. O Filter é hierárquico, então precisamos seguir a sequencia:
1. ARES
1.1- Dropar wares
1.2- Dropar Layer7 Ares
1.3- Dropar UDP Destino porta 0 (zero)
1.4- Dropar UDP Origem porta 0 (zero)
1.5- Dropar todos UDP destino portas 15000-65535 (portas altas)
1.6- Dropar todos TCP destino portas 15000-65535 (portas altas)
2. TORRENTS
2.1- Dropar Layer7 torrent
2.2- Dropar All-P2P
2.3- Dropar todos UDP destino portas 15000-65535 (portas altas) e com pacotes de tamanho entre 576-65535 (pacotes grandes)
3. EXCESSÕES TCP ACIMA PORTA 2000
3.1 Colocar todas as possíveis portas TCP's acima da porta 2000, pois a última regra vai dropar elas. Aqui o que eu uso de exceção, a modo de exemplo: Excessões TCP > 2000 3389,5900-5905 (Suporte remoto) 5190,6891-6901 ( MSN) - 8291 (Mikrotik) - 12975&32976 (LogmeIn/Hamashi) - 25999 (XFire) - 33434 (Traceroute) - 2350-2360 (TrackMania). Ponham tudo o que for "do bem" que usa TCP acima da porta 2000. Essa regra não é de "drop", mas sim de "accept".
4. DROP TODOS TCP ACIMA PORTA 2000


Fim


Não irei por a princípio regras aqui, pois quem sabe cria regras, quem não sabe copia e cola e não funciona pois o cenário das minhas regras dificilmente se aplicará a outrem. O mais importante, que tentei passar aqui, é o RACIOCÍNIO correto para bloquear, a efetivação vocês corram atrás.

muitoo bom amigo vou tentar aki ver se ccopnsigo..