مشکل ارتباطات p2p در میکروتیک- تخصصی

[m3hdi]

با سلام
در یک موردی به اشکال خوردم که امیدوارم بتونم با کمک شما حلش کنم
فایروال میکروتیک به خوبی می تونه وضعیت P2P یک یوزر رو نشون بده و تا اینجا روتر ما کارش رو درست انجام میده
مشکل از جایی شروع میشه که ما چند vm رو به این روتر وصل می کنیم و اگر یکی از اون vm ها به عنوان مثال از تورنت دانلودی داشته باشه فایروال وضعیت P2P رو نشون نمیده
چه راهی هست تا بشه متوجه شد vm ای در شبکه داره فرضا از توررنت دانلود می کنه ؟
(میکروتیک به عنوان یک روتر در شبکه بر روی یک vm نصب شده است)

مشکل دیگری که هست ، با بستن پرتهای 40000 تا 65000 متاسفانه باز هم شاهد دانلود تورنت بر روی پرت دیفالت هستیم در صورتی که پرت دیفالت در همین محدوده قرار داره

با تشکر

[astro.alireza]

چیزی که شما می فرمایید درست هست و هیچ روتری نمی تونه وضعیت کانشکن های p2p رو به صورتی که از یک vm ارسال و دریافت می شه مانیتور کنه. p2p هم به پورت ربطی نداره و با بستن پورت نمی تونید جلوش رو بگیرید.
راه حل شما برای جلوگیری از تورنت استفاده از فایروال لایه ۷ هست که با اون بتونید درخواست های http و DNS رو برای منابع به اشتراک گذارنده تورنت ببندید

[≡ ALEX ≡]

دوست عزیز شما اومدی تو لایه 2 میکروتیک رو به عنوان فایروال تعریف کردید، اونوقت می خواهید تو لایه 3 کانکشن ها رو یلاک کنید؟!

[m3hdi]

چیزی که شما می فرمایید درست هست و هیچ روتری نمی تونه وضعیت کانشکن های p2p رو به صورتی که از یک vm ارسال و دریافت می شه مانیتور کنه. p2p هم به پورت ربطی نداره و با بستن پورت نمی تونید جلوش رو بگیرید.
راه حل شما برای جلوگیری از تورنت استفاده از فایروال لایه ۷ هست که با اون بتونید درخواست های http و DNS رو برای منابع به اشتراک گذارنده تورنت ببندید

با تشکر از شما ، نکته عجیب برای بنده این هست که با وجود اینکه تورنت در هر حال از پرتی نظیر 43000 در حال استفاده هست ، با مسدود سازی این پرت در tcp از چه طریق باز امکان دریافت وجود داره ؟
در رابطه با L7 هم ممنون میشم اگر بیشتر راهنمایی کنید

دوست عزیز شما اومدی تو لایه 2 میکروتیک رو به عنوان فایروال تعریف کردید، اونوقت می خواهید تو لایه 3 کانکشن ها رو یلاک کنید؟!

بحث فعلا بلاک کردن نیست ، فعلا نحوه شناسایی در روتر هست

[astro.alireza]

با تشکر از شما ، نکته عجیب برای بنده این هست که با وجود اینکه تورنت در هر حال از پرتی نظیر 43000 در حال استفاده هست ، با مسدود سازی این پرت در tcp از چه طریق باز امکان دریافت وجود داره ؟
در رابطه با L7 هم ممنون میشم اگر بیشتر راهنمایی کنید


بحث فعلا بلاک کردن نیست ، فعلا نحوه شناسایی در روتر هست

نه! تورنت از پورت خاصی استفاده نمی کنه. تورنت مثل حالت پسیو ftp از ephemeral ports استفاده می کنه که یه رنجی بین 49152–65535 هست. اصلا با بستن پورت نمی تونید جلوی تورنت رو بگیرید. بهترین کار همونجوری که گفتم استفاده از فایروال لایه ۷ هست که بتونه ترافیک تورنت رو تشخیص بده و فقط همون رو ***** کنه. شما دستورات زیر رو توی روتر خودتون بزنید که می تونه تقریبا جلوی تمام تورنت ها رو بگیره:

کد:

ip firewall layer7-protocol add name=p2p_www regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
ip firewall layer7-protocol add name=p2p_dns regexp="^.+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
add action=drop chain=forward comment=Torrent disabled=no dst-port=6881-6989 protocol=tcp
add action=drop chain=forward comment=P2P disabled=no p2p=all-p2p
add action=drop chain=forward comment="block p2p_www" disabled=no layer7-protocol=p2p_www
add action=drop chain=forward comment="block p2p_dns" disabled=no dst-port=53 layer7-protocol=p2p_dns protocol=udp