Как заблокировать BitTorrent-трафик, Torrent-трафик с помощью протокола MikroTik Layer7

Это происходит потому, что для загрузки данных с помощью торрентов устанавливается одноранговая (P2P) сеть, в которой клиент BitTorrent-трафик, Torrent-трафик создает большое количество одновременных подключений к различным узлам, что приводит к нагрузке на ресурсы вашего маршрутизатора/модема.

Чтобы этого не допустить, рекомендуется вообще заблокировать загрузку торрентов в общей сетевой среде.

Протокол Layer7 от MikroTik можно использовать для маркировки и блокировки нежелательного трафика, в данном случае всех данных p2p (BitTorrent-трафик, Torrent-трафик). Протокол Layer7 на MikroTik можно на IP > Firewall section

Сопоставитель протоколов L7 ищет определенные шаблоны данных в первых 10 пакетах или в первых 2 КБ данных в потоках TCP/UDP/ICMP любых новых соединений. Это средство сопоставления основано на записях, добавленных в поле «Regexp» (регулярное выражение) в Layer7 Protocol. Это регулярное выражение используется для определения шаблонов поиска, по ключевым словам, в URL-адресах.

Если в соединении обнаружен заранее определенный шаблон, то на основании условий, определенных в правилах фильтрации с использованием протокола Layer7, над потоком данных будет предпринято действие. Если в соединении не обнаружено шаблона, то сопоставитель прекратит дальнейшую проверку соединения.

Чтобы идентифицировать и отбросить BitTorrent-трафик, Torrent-трафик, мы будем использовать протокол L7 в сочетании с правилами фильтрации брандмауэра. Это должно быть сделано следующим образом:

Шаг 1. Перейдите на вкладку IP > Firewall > Layer7 Protocols. Нажмите «+», чтобы добавить новую запись.

Шаг 2: Введите «torrent» в поле «Name» . Скопируйте и вставьте следующее выражение Perl полностью в поле Regexp :

^(\x13bittorrent protocol|azver\x01$|get /scrape\?info_hash=get /announce\?info_hash=|get /client/bitcomet/|GET /data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]

Нажмите «Comment» , чтобы пометить запись протокола как «Block Torrents» . Нажмите «Apply» , затем «ОК».

Команда terminal MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall layer7-protocol add comment="Block Torrents" name=torrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

В Winbox нажмите «New Terminal» . Скопируйте и вставьте приведенную выше команду в окно терминала и нажмите Enter. Правило брандмауэра, как показано на изображениях выше, будет добавлено мгновенно.

Шаг 3. Создайте правила фильтрации для эффективной блокировки BitTorrent-трафика.

Перейдите на вкладку IP > Firewall > Filter Rules Правила фильтрации . Нажмите «+», чтобы добавить новую запись.

На вкладке «General» выберите «chain» как «forward» и выберите «In Interface List» как «LAN».

Цель определения In Interface List в этом случае состоит в том, чтобы в противном случае удаленные IP-адреса всех P2P-клиентов также были без необходимости добавлены в список адресов «Torrent-Conn» . Меньше адресов Less addresses = less memory consumption.

Вы можете определить список LAN в разделе Interfaces > List и добавить все локальные сети в список LAN в целях идентификации.

Шаг 4. На вкладке «Advanced» установите в поле «Src Address List» значение «allow-bit» с опцией инвертирования «!» включено.

выберите Layer7 Protocol в качестве torrent из раскрывающегося списка.

Шаг 5. На вкладке «Action» выберите «Action» в качестве добавления источника в список адресов и в поле «Address List» введите «Torrent-Conn»

Установите тайм-аут на 00:00:30 (30 секунд).

Нажмите «Комментарий» , чтобы пометить правило. как «Block Torrents» . Нажмите «Применить» затем «ОК».

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward in-interface-list=LAN src-address-list=!allow-bit layer7-protocol=torrent action=add-src-to-address-list address-list=Torrent-Conn address-list-timeout=30s comment="Block Torrents"

Это правило фильтра будет динамически добавлять адреса хостов в локальной сети, на которые перенаправляется трафик BitTorrent от маршрутизатора, к список адресов «Торрент-Конн».

Нам нужно добавить еще два правила фильтрации, чтобы гарантировать, что никакой другой трафик, кроме торрентов, не блокируется.

Перейдите в IP > Firewall > Filter rules и добавьте новое правило.

На вкладке «General» выберите протокол TCP. В

поле « Порт Dst» добавьте указанные ниже номера портов или просто скопируйте и вставьте отсюда

0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905

. Нажмите кнопку инвертировать [!], как показано ниже.

На вкладке «Advanced» выберите в раскрывающемся списке Src Address List как Torrent-Conn.

На вкладке «Action» выберите «Action» в drop списке.

Нажмите « Комментарий» , чтобы пометить правило как «Block Torrents» . Нажмите «Применить» затем «ОК» .

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Нажмите «+», чтобы добавить еще одно новое правило.

На вкладке «General» выберите protocol как udp

в поле «Dst Port» , добавьте указанные ниже порты или скопируйте и вставьте снизу:

0-1023,1723,5900,5800,3389,8728,8291, 14147,5222,59905

Нажмите на опцию инвертирования [!], как показано ниже.

На вкладке «Advanced» выберите в раскрывающемся списке Src Address List как Torrent-Conn.

На вкладке «Action» выберите Action как выпадающее из drop списка.

Нажмите «Комментарий», чтобы пометить правило как «Блокировать торренты». Нажмите «Применить», затем «ОК».

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Эти два правила фильтра будут блокировать пересылку tcp- и udp-пакетов с данными BitTorrent соответственно через необщие порты на те хосты (устройства), которые указаны в списке Torrent. -Подключить список адресов, тем самым эффективно блокируя торрент-загрузки.

Перетащите все эти три правила фильтрации, помеченные как «Блокировать торренты», над основными правилами фильтрации брандмауэра.

Если на маршрутизаторе MikroTik создано несколько локальных сетей, созданные выше правила будут блокировать загрузку торрентов во всех сетях.

Блокировать торрент-трафик только для определенной сети

Чтобы заблокировать торренты только в одной сети из нескольких сетей, созданных на MikroTik, мы указываем сеть, в которой загрузка торрентов должна быть заблокирована, в файле Src. Address на вкладке «General» при добавлении правил Block Torrents “drop”, как показано на изображении ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.0/24" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-address="***.***.***.0/24" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать торрент-загрузка на всех устройствах, подключенных к сети ***.***.***.0/24 .

Блокировать торрент-трафик только для определенного диапазона IP-адресов

Чтобы заблокировать торренты только для определенного диапазона IP-адресов, скажем, диапазона пула DHCP, мы указываем диапазон IP-адресов в поле « Src Address» на вкладке «General» , добавляя при этом правилаBlock Torrents “drop”, как показано на изображении ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10-***.***.***.254" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-address="***.***.***.10-***.***.***.254" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать торрент-загрузку на всех устройствах, которым динамически или вручную назначены IP-адреса в диапазоне ***.***.***.10-***.***.***.254. Устройства, которым вручную назначены IP-адреса за пределами пула DHCP, смогут загружать торренты.

Блокировать торрент-трафик только для определенного устройства

Чтобы заблокировать торренты только для определенного устройства, есть два способа, с помощью которых это можно сделать:

Способ 1: Указываем статический IP устройства в файле Src. Поле адреса на вкладке «General» при добавлении правила Block Torrents “drop”, как показано ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-address="***.***.***.10" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать загрузку торрентов на устройству назначен IP ***.***.***.10 .

Способ 2: Указываем MAC-адрес устройства в файле Src. MAC Address на вкладке « Advanced» при добавлении правила Block Torrents “drop”, как показано ниже:

15-15

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-mac-address="AA-BB-CC-DD-EE-FF" protocol=tcp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

/ip firewall filter add chain=forward src-mac-address="AA-BB-CC-DD-EE-FF" protocol=udp dst-port=!0-1023,1723,5900,5800,3389,8728,8291,14147,5222,59905 src-address-list=Torrent-Conn action=drop comment="Block Torrents"

Таким образом, правило будет блокировать загрузку торрентов на устройстве с MAC-адресом AA:BB:CC:DD:EE:FF .

Если торренты заблокированы во всех сетях или в определенной сети, но определенным конкретным устройствам необходимо предоставить доступ для скачивания торрентов, то мы создадим еще одно правило фильтрации и разместим его над существующим правилом «Блокировать торренты». Метод заключается в следующем:

Шаг 1. Перейдите на вкладку «IP > Firewall > Filter Rules . Нажмите «+», чтобы добавить новую запись.

Шаг 2. На вкладке «General» выберите chain «forward» , установите требуемый Src Address на основе 3 conditions, упомянутых ниже.

Шаг 3: На вкладке «Advanced» выберите протокол Layer7 в качестве торрента из раскрывающегося списка.

Шаг 4. На вкладке «Action» выберите действие «accept» .

Шаг 5: Нажмите «Comment» , чтобы пометить правило как «Allow Torrents» , нажмите «Применить» , затем «ОК».

Эти 3 условия заключаются в следующем:

Если одному устройству необходимо предоставить доступ к скачиванию торрентов, то это можно сделать двумя способами:

Способ 1: Указываем статический IP устройства в файле Src. Поле адреса на вкладке «Общие», как показано ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10" layer7-protocol=torrent action=accept comment="Allow Torrents"

Способ 2: Указываем MAC-адрес устройства в файле Src. Поле MAC-адрес на вкладке «Дополнительно», как показано ниже:

Команда терминала MikroTik для добавления вышеуказанного правила выглядит следующим образом:

/ip firewall filter add chain=forward src-address="***.***.***.10-***.***.***.254" layer7-protocol=torrent action=accept comment="Allow Torrents"

Перетащите это правило фильтра с надписью «Разрешить торренты» над правилами фильтрации брандмауэра «Блокировать торренты».

Таким образом, созданное здесь правило «Разрешить торренты» позволит загружать торренты конкретными устройствами, выбранными в соответствии с тремя упомянутыми выше условиями, в то время как трафик BitTorrent останется заблокированным для остальных устройств в сети.