Mikrotik P2P Sperre
Hallo
ich habe ein Mikortik Cloud Core 1016-12.... und würde gern ALLE P2P sachen vorbeugend sperren.
Nur ein chain=forward aktion=drop p2p=all_p2p Regel bringt leider kein gewünschten erfolg.
Denn zu test zwecken habe ich bittorent mal probiert aber es läd trotzdem was verhindert werden soll.
Kann denn da jemand helfen alle P2P traffic und anfragen zu sperren?
Snupydoo
ich habe ein Mikortik Cloud Core 1016-12.... und würde gern ALLE P2P sachen vorbeugend sperren.
Nur ein chain=forward aktion=drop p2p=all_p2p Regel bringt leider kein gewünschten erfolg.
Denn zu test zwecken habe ich bittorent mal probiert aber es läd trotzdem was verhindert werden soll.
Kann denn da jemand helfen alle P2P traffic und anfragen zu sperren?
Snupydoo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 217258
Url: https://administrator.de/contentid/217258
Ausgedruckt am: 08.11.2024 um 05:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
schon mal im Mirkotik Forum geschaut?
ip firewall filter add chain=forward p2p=all-p2p action=drop
nicht _ sondern - solte funktionieren.
Quelle: http://forum.mikrotik.com/viewtopic.php?t=21178
brammer
schon mal im Mirkotik Forum geschaut?
ip firewall filter add chain=forward p2p=all-p2p action=drop
nicht _ sondern - solte funktionieren.
Quelle: http://forum.mikrotik.com/viewtopic.php?t=21178
brammer
Hallo,
und wenn es das dann war bitte noch schnell ein Beitrag ist gelöst hinten dran, danke.
Gruß
Dobby
und wenn es das dann war bitte noch schnell ein Beitrag ist gelöst hinten dran, danke.
Gruß
Dobby
Hallo,
also meines Erachtens nach gibt es genau drei verschiedene Möglichkeiten um P2P Verkehr im Netzwerk erfolgreich zu unterbinden
oder eben sogar eine Kombination zweier oder gar aller drei Möglichkeiten.
1. Eine NG (Next Gerneration) Firewall die "Aplplicaton based arbeitet" und die auch sehr teuer ist in der Anschaffung und dem Unterhalt.
2. Ein HTTP Proxy Server der eben nur ein paar Ports geöffnet hat und den Rest abblockt bzw. nicht weiterleitet. (Squid + SquidGuard)
3. Firewallregeln die das ganze unterbinden und das so etwas facettenreiches nicht nur mit einer Regel abgehandelt wird ist doch wohl klar.
Denn das wird unter RouterOS wohl eher ein Zusammenspiel zwischen einigen Möglichkeiten sein, hier mal ein paar Beispiele:
- IP/Firewall/Connection tracking
- Enable and Disable P2P
- TransparentTrafficShaper
- Ares
- Queue with Masquerading and Internal Web-Proxy
Klar muss auch von vorne herein sein dass so etwas immer ein Kopf an Kopf Rennen zwischen den
Router und Firewallherstellern und den Code Schreibern der P2P Programme sein wird, es sei denn
man besorgt sich eben eine NG Firewall und hat dann auch mehr Möglichkeiten in Sache P2P!
Gruß
Dobby
P.S.
Was ist denn eigentlich so schlimm an den 30 Firewallregeln,
wenn man so einen schnellen Router wie Du hast?
also meines Erachtens nach gibt es genau drei verschiedene Möglichkeiten um P2P Verkehr im Netzwerk erfolgreich zu unterbinden
oder eben sogar eine Kombination zweier oder gar aller drei Möglichkeiten.
1. Eine NG (Next Gerneration) Firewall die "Aplplicaton based arbeitet" und die auch sehr teuer ist in der Anschaffung und dem Unterhalt.
2. Ein HTTP Proxy Server der eben nur ein paar Ports geöffnet hat und den Rest abblockt bzw. nicht weiterleitet. (Squid + SquidGuard)
3. Firewallregeln die das ganze unterbinden und das so etwas facettenreiches nicht nur mit einer Regel abgehandelt wird ist doch wohl klar.
Denn das wird unter RouterOS wohl eher ein Zusammenspiel zwischen einigen Möglichkeiten sein, hier mal ein paar Beispiele:
- IP/Firewall/Connection tracking
- Enable and Disable P2P
- TransparentTrafficShaper
- Ares
- Queue with Masquerading and Internal Web-Proxy
Klar muss auch von vorne herein sein dass so etwas immer ein Kopf an Kopf Rennen zwischen den
Router und Firewallherstellern und den Code Schreibern der P2P Programme sein wird, es sei denn
man besorgt sich eben eine NG Firewall und hat dann auch mehr Möglichkeiten in Sache P2P!
Gruß
Dobby
P.S.
Was ist denn eigentlich so schlimm an den 30 Firewallregeln,
wenn man so einen schnellen Router wie Du hast?
Zitat von @Snupydoo:
gibt es denn da nicht einen leichteren weg als diese komplizierten umeitung ins leere Regeln?
gibt es denn da nicht einen leichteren weg als diese komplizierten umeitung ins leere Regeln?
leichter als ´n Stück Text zu kopieren und (eventuell angepasst) in ein Terminal einzufügen?
http://forum.mikrotik.com/viewtopic.php?f=2&t=59234
Diese Lösung soll klappen schreiben die Tester.
(Ich hab zwar ´n NAS mit Torrent aber keine Zeit zum testen.)
mfg
kowa
hat da nun jemand einen rat um den Download oder Upload noch zu stoppen?
Sehr geehrter Nutzer @Snupydoo, ich teile Ihre Meinung nicht und möchte mich kurz dazu erklären
wenn sie gestatten. Ich begründe meine Meinung wie folgt:
Der wirklich einzige und nahe an 95% heran ragende Weg ist der Einsatz einer NG Firewall
und am besten einer von PaloAlto!! Denn auch hier gibt es eine Menge Kraut und Rüben.
- Was machst Du denn wenn jemand einen Browser einsetzt über den man P2P abwickeln kann?
- Was passiert wenn man P2P Klienten hat die von TCP auf UDP wechseln?
- Was kann man gegen P2P Klienten unternehmen die den Port 80 benutzen?
- Was will man machen wenn ein P2P Klient die Verbindung verschlüsselt?
Das ganze ist auf Unternehmensbasis das heißt im geschäftlichen Umfeld von Firmennetzwerken
ein Millionengeschäft und wenn es eine funktionierende Möglichkeit gäbe das einfach mit dem bzw.
durch den Einsatz eines Routers der Firma MikroTik zu unterbinden, dann wäre das bestimmt unter
den ersten 10 Treffern bei Google zu finden und auch bestimmt schon in aller Munde!!!
Denn demjenigen dem das gelingt der hat ausgesorgt und dem seine Geräte verkaufen sich fast
wie von alleine und das auch trotz eines "gesalzenen" Preises!!! Aber jede Wette.
PaloAlto Firewall der Serie 4000 und 5000 verkaufen sich wie von selbst und starten bei 50.000 € - 70.000 €
mir ist auch klar das gerade MikroTik damit wirbt; "Warum tausende Euro ausgeben, wenn MikroTik das selbe
auch für wenige Euro zu leisten vermag", aber das bezieht sich immer nur auf die Routing Power und ist leider
anders gemeint als es von den meisten Kunden verstanden wird!
Selbst mit Firewallregeln, Deep Packt Inspektion, HTTP Proxy und IDS System wird man die
nahezu 95% Quote der NG Firewalls die Applikations basierend (Application based) arbeiten
nicht erreichen, da die P2P Klienten gerade zu prädestiniert dafür sind mit dem nächsten
Programmupdate dafür zu sorgen, dass es wieder einen neuen Weg gibt irgend welche
Schutzmaßnahmen und Sperren zu umgehen!
Gruß
Dobby
P.S.
Man kann sich auch zwei Bücher zu MikroTik RouterOS kaufen und dort findet man in dem einen
Buch sogar kleine Beispiele einfach zum Abtippen.
Learn RouterOS 2nd Edition
Learn RouterOS by Examples