13
Mikrotik P2P Sperre
Hallo
ich habe ein Mikortik Cloud Core 1016-12.... und würde gern ALLE P2P sachen vorbeugend sperren.
Nur ein chain=forward aktion=drop p2p=all_p2p Regel bringt leider kein gewünschten erfolg.
Denn zu test zwecken habe ich bittorent mal probiert aber es läd trotzdem was verhindert werden soll.
Kann denn da jemand helfen alle P2P traffic und anfragen zu sperren?
Snupydoo
ich habe ein Mikortik Cloud Core 1016-12.... und würde gern ALLE P2P sachen vorbeugend sperren.
Nur ein chain=forward aktion=drop p2p=all_p2p Regel bringt leider kein gewünschten erfolg.
Denn zu test zwecken habe ich bittorent mal probiert aber es läd trotzdem was verhindert werden soll.
Kann denn da jemand helfen alle P2P traffic und anfragen zu sperren?
Snupydoo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 217258
Url: https://administrator.de/contentid/217258
Ausgedruckt am: 08.11.2024 um 05:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
schon mal im Mirkotik Forum geschaut?
ip firewall filter add chain=forward p2p=all-p2p action=drop
nicht _ sondern - solte funktionieren.
Quelle: http://forum.mikrotik.com/viewtopic.php?t=21178
brammer
schon mal im Mirkotik Forum geschaut?
ip firewall filter add chain=forward p2p=all-p2p action=drop
nicht _ sondern - solte funktionieren.
Quelle: http://forum.mikrotik.com/viewtopic.php?t=21178
brammer
1
Hi Snupydoo,
mach Dir mal den Spaß und google Deinen Betragstitel.
dann hat Brammer mehr Zeit für Sarkasmustags
mfg
kowa
mach Dir mal den Spaß und google Deinen Betragstitel.
dann hat Brammer mehr Zeit für Sarkasmustags
mfg
kowa
1
Hallo,
und wenn es das dann war bitte noch schnell ein Beitrag ist gelöst hinten dran, danke.
Gruß
Dobby
und wenn es das dann war bitte noch schnell ein Beitrag ist gelöst hinten dran, danke.
Gruß
Dobby
2
@ Brammer
Danke erstmal für den hinweis aber die anfrage hab ich ja nur schnell aus dem Kopf hier gepostet.
Wenn stelle ich es sowieso per WINBOX ein und auch wenn die Regel eingestellt ist funktioniert
das BitTorrent 7.8.1 beim Download wunderbar. Also Blockiert die Regel kein bisschen den
BitTorrant Traffic.
@ Kowakowalski
Das habe ich bereits gemacht die anderen habe da verschiedene Anleitungen mit haufen zusetzlichen
Firewall Regeln die die Anfragen der Programme noch blockiert aber jeder macht es bei seiner
Anleitung anders. Daher auch meine Anfrage hier ob jemand ein Brauchbaren Tip hat um es leicht
zu blockieren ohne 30 Firewall Regeln erstellen muss um nur mal BitTorrent sperren zu können.
@ Dobby
Sorry leider ist hier noch nichts gelöst.
MfG
Snupydoo
Danke erstmal für den hinweis aber die anfrage hab ich ja nur schnell aus dem Kopf hier gepostet.
Wenn stelle ich es sowieso per WINBOX ein und auch wenn die Regel eingestellt ist funktioniert
das BitTorrent 7.8.1 beim Download wunderbar. Also Blockiert die Regel kein bisschen den
BitTorrant Traffic.
@ Kowakowalski
Das habe ich bereits gemacht die anderen habe da verschiedene Anleitungen mit haufen zusetzlichen
Firewall Regeln die die Anfragen der Programme noch blockiert aber jeder macht es bei seiner
Anleitung anders. Daher auch meine Anfrage hier ob jemand ein Brauchbaren Tip hat um es leicht
zu blockieren ohne 30 Firewall Regeln erstellen muss um nur mal BitTorrent sperren zu können.
@ Dobby
Sorry leider ist hier noch nichts gelöst.
MfG
Snupydoo
Hallo,
also meines Erachtens nach gibt es genau drei verschiedene Möglichkeiten um P2P Verkehr im Netzwerk erfolgreich zu unterbinden
oder eben sogar eine Kombination zweier oder gar aller drei Möglichkeiten.
1. Eine NG (Next Gerneration) Firewall die "Aplplicaton based arbeitet" und die auch sehr teuer ist in der Anschaffung und dem Unterhalt.
2. Ein HTTP Proxy Server der eben nur ein paar Ports geöffnet hat und den Rest abblockt bzw. nicht weiterleitet. (Squid + SquidGuard)
3. Firewallregeln die das ganze unterbinden und das so etwas facettenreiches nicht nur mit einer Regel abgehandelt wird ist doch wohl klar.
Denn das wird unter RouterOS wohl eher ein Zusammenspiel zwischen einigen Möglichkeiten sein, hier mal ein paar Beispiele:
- IP/Firewall/Connection tracking
- Enable and Disable P2P
- TransparentTrafficShaper
- Ares
- Queue with Masquerading and Internal Web-Proxy
Klar muss auch von vorne herein sein dass so etwas immer ein Kopf an Kopf Rennen zwischen den
Router und Firewallherstellern und den Code Schreibern der P2P Programme sein wird, es sei denn
man besorgt sich eben eine NG Firewall und hat dann auch mehr Möglichkeiten in Sache P2P!
Gruß
Dobby
P.S.
Was ist denn eigentlich so schlimm an den 30 Firewallregeln,
wenn man so einen schnellen Router wie Du hast?
also meines Erachtens nach gibt es genau drei verschiedene Möglichkeiten um P2P Verkehr im Netzwerk erfolgreich zu unterbinden
oder eben sogar eine Kombination zweier oder gar aller drei Möglichkeiten.
1. Eine NG (Next Gerneration) Firewall die "Aplplicaton based arbeitet" und die auch sehr teuer ist in der Anschaffung und dem Unterhalt.
2. Ein HTTP Proxy Server der eben nur ein paar Ports geöffnet hat und den Rest abblockt bzw. nicht weiterleitet. (Squid + SquidGuard)
3. Firewallregeln die das ganze unterbinden und das so etwas facettenreiches nicht nur mit einer Regel abgehandelt wird ist doch wohl klar.
Denn das wird unter RouterOS wohl eher ein Zusammenspiel zwischen einigen Möglichkeiten sein, hier mal ein paar Beispiele:
- IP/Firewall/Connection tracking
- Enable and Disable P2P
- TransparentTrafficShaper
- Ares
- Queue with Masquerading and Internal Web-Proxy
Klar muss auch von vorne herein sein dass so etwas immer ein Kopf an Kopf Rennen zwischen den
Router und Firewallherstellern und den Code Schreibern der P2P Programme sein wird, es sei denn
man besorgt sich eben eine NG Firewall und hat dann auch mehr Möglichkeiten in Sache P2P!
Gruß
Dobby
P.S.
Was ist denn eigentlich so schlimm an den 30 Firewallregeln,
wenn man so einen schnellen Router wie Du hast?
2
gibt es denn da nicht einen leichteren weg als diese komplizierten umeitung ins leere Regeln?
oder diese Markierung versuche der Pakete? Also am besten sperre den port und sperre
den Port .... oder sperre *.torrrent downloads. gibts denn also nix leichteres?
Gruss
Snupydoo
oder diese Markierung versuche der Pakete? Also am besten sperre den port und sperre
den Port .... oder sperre *.torrrent downloads. gibts denn also nix leichteres?
Gruss
Snupydoo
1Zitat von @Snupydoo:
gibt es denn da nicht einen leichteren weg als diese komplizierten umeitung ins leere Regeln?
gibt es denn da nicht einen leichteren weg als diese komplizierten umeitung ins leere Regeln?
leichter als ´n Stück Text zu kopieren und (eventuell angepasst) in ein Terminal einzufügen?
http://forum.mikrotik.com/viewtopic.php?f=2&t=59234
Diese Lösung soll klappen schreiben die Tester.
(Ich hab zwar ´n NAS mit Torrent aber keine Zeit zum testen.)
mfg
kowa
Hallo,
Danke für deine Fürsorge...
Aber wo habe ich die Tags den vergessen?
brammer
....dann hat Brammer mehr Zeit für Sarkasmustags
Danke für deine Fürsorge...
Aber wo habe ich die Tags den vergessen?
brammer
Also hab mal alle Regeln eingegeben.... sicher verhindern jetzt die Regeln das man auf die Torrent oder ähnliche Seiten kommt.
Aber den Download von dem Clientprogrammen wird nicht verhindert da der Downlaod und Upload munter weiter geht.
Jemand noch eine Idee um auch den Upload und Download zu stoppen?
Snupydoo
Aber den Download von dem Clientprogrammen wird nicht verhindert da der Downlaod und Upload munter weiter geht.
Jemand noch eine Idee um auch den Upload und Download zu stoppen?
Snupydoo
Hi,
das war "Treadübergreifend" gemeint.
Gestern hattest Du irgendwo bemerkt: "...die Sarkasmustags spare ich mir mal...."
mfg
kowa
das war "Treadübergreifend" gemeint.
Gestern hattest Du irgendwo bemerkt: "...die Sarkasmustags spare ich mir mal...."
mfg
kowa
hat da nun jemand einen rat um den Download oder Upload noch zu stoppen?
hat da nun jemand einen rat um den Download oder Upload noch zu stoppen?
Sehr geehrter Nutzer @Snupydoo, ich teile Ihre Meinung nicht und möchte mich kurz dazu erklären
wenn sie gestatten. Ich begründe meine Meinung wie folgt:
Der wirklich einzige und nahe an 95% heran ragende Weg ist der Einsatz einer NG Firewall
und am besten einer von PaloAlto!! Denn auch hier gibt es eine Menge Kraut und Rüben.
- Was machst Du denn wenn jemand einen Browser einsetzt über den man P2P abwickeln kann?
- Was passiert wenn man P2P Klienten hat die von TCP auf UDP wechseln?
- Was kann man gegen P2P Klienten unternehmen die den Port 80 benutzen?
- Was will man machen wenn ein P2P Klient die Verbindung verschlüsselt?
Das ganze ist auf Unternehmensbasis das heißt im geschäftlichen Umfeld von Firmennetzwerken
ein Millionengeschäft und wenn es eine funktionierende Möglichkeit gäbe das einfach mit dem bzw.
durch den Einsatz eines Routers der Firma MikroTik zu unterbinden, dann wäre das bestimmt unter
den ersten 10 Treffern bei Google zu finden und auch bestimmt schon in aller Munde!!!
Denn demjenigen dem das gelingt der hat ausgesorgt und dem seine Geräte verkaufen sich fast
wie von alleine und das auch trotz eines "gesalzenen" Preises!!! Aber jede Wette.
PaloAlto Firewall der Serie 4000 und 5000 verkaufen sich wie von selbst und starten bei 50.000 € - 70.000 €
mir ist auch klar das gerade MikroTik damit wirbt; "Warum tausende Euro ausgeben, wenn MikroTik das selbe
auch für wenige Euro zu leisten vermag", aber das bezieht sich immer nur auf die Routing Power und ist leider
anders gemeint als es von den meisten Kunden verstanden wird!
Selbst mit Firewallregeln, Deep Packt Inspektion, HTTP Proxy und IDS System wird man die
nahezu 95% Quote der NG Firewalls die Applikations basierend (Application based) arbeiten
nicht erreichen, da die P2P Klienten gerade zu prädestiniert dafür sind mit dem nächsten
Programmupdate dafür zu sorgen, dass es wieder einen neuen Weg gibt irgend welche
Schutzmaßnahmen und Sperren zu umgehen!
Gruß
Dobby
P.S.
Man kann sich auch zwei Bücher zu MikroTik RouterOS kaufen und dort findet man in dem einen
Buch sogar kleine Beispiele einfach zum Abtippen.
Learn RouterOS 2nd Edition
Learn RouterOS by Examples
@ Dobby
Also deine Anrede ist ja nicht gerade nett. Das kann man auch freundlicher Formulieren.
Hab mich ja nebenbei auch noch hier und da belesen. Sicher mehr als was hier bisher
geschrieben wurde bzw die links zur Filtereinstellung habe ich importiert bei mir
und ich denk mal vorbeugend den zugriff auf Torrent Seiten zu verhindern ist ja auch schon
mal ein großer schritt. Und wie gesagt ein Download kann man ja nicht verhindern
da die Clients sich ja auch tarnen können.
Aber dennoch danke erstmal an alle die Diesen Beitrag vorran getrieben haben.
Snupydoo
Also deine Anrede ist ja nicht gerade nett. Das kann man auch freundlicher Formulieren.
Hab mich ja nebenbei auch noch hier und da belesen. Sicher mehr als was hier bisher
geschrieben wurde bzw die links zur Filtereinstellung habe ich importiert bei mir
und ich denk mal vorbeugend den zugriff auf Torrent Seiten zu verhindern ist ja auch schon
mal ein großer schritt. Und wie gesagt ein Download kann man ja nicht verhindern
da die Clients sich ja auch tarnen können.
Aber dennoch danke erstmal an alle die Diesen Beitrag vorran getrieben haben.
Snupydoo
