Маркировка торрент трафика при 2-х провайдерах

[sabadun]

Здравствуйте. У меня такой вопрос. Имеется маркированный трафик торрент трекера и 2 провайдера, которые работают через netwatch-метод резервного канала. Подскажите пожалуйста, как мне заблокировать торрент на втором провайдере, который 3G, что бі не израсходовать весь трафик при падении первого провайдера. Сам уже пробовал по разному, всю голову сломал, а нечего не получается. вот настройки файрвола. Заранее огромно спасибо за помощь

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow DNS" dst-port=53 \
    in-interface-list=!WAN protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="3G Block wi fi" dst-address-list=\
    youtube out-interface=3G src-address=!192.168.1.3-192.168.1.4
add action=drop chain=forward out-interface=3G src-address-list=!user

[Chupaka]

Здравствуйте.

Не вижу в конфиге ничего про torrent, но всё же: сначала надо определиться, что называть torrent'ом. Особенно когда он шифрованный. Могу предложить разрешить через 3G только порты 80/TCP и 443/TCP - по идее, в них много торентов не пролезет.

[sabadun]

UPD. Решение найдено, может кому то пригодится. Немного нужно подкорректировать под себя - вручную изменить в DROP out interface на наш резервный канал, то есть в моем случае 3G. Все прекрасно работает - на основном провайдере торрент качает, а резервном нет. Так же можно промаркировать этот трафик и сделать правило очереди с изменением скорости, если нужно

Код: Выделить всё

/ip firewall layer7-protocol
add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bitt\
    orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\
    o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[\
    RP]"

/ip firewall filter
/add action=add-src-to-address-list address-list=Torrent-Connection \
    address-list-timeout=2m chain=forward comment="Block Torrent 3G" \
    layer7-protocol=layer7-bittorrent-exp src-address=192.168.1.0/24
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 out-interface=3G protocol=\
    tcp src-address-list=Torrent-Connection
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 out-interface=3G protocol=\
    udp src-address-list=Torrent-Connection