Коллеги приветствую.
Прошу помощи (в том числе на возмездной основе).
Есть CHR, для VPN. Через который кто то из пользователей на регулярной основе начинает качать торренты. Хостеру это ненравится и он блокирует VPS. Требуется вычислить злоумышленника и заблокировать учетку (пользователя VPN) раньше чем это сделает хостер. Рассмотрю любые варианты решения задачи и сотрудничества.
С уважением.
Ограничение по трафику
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ограничение по трафику
Так блокирует за объём трафика (о чём говорит тема) или за торренты (о чём как будто говорит само сообщение)?
-
- Сообщения: 4
- Зарегистрирован: 15 янв 2024, 20:18
Re: Ограничение по трафику
Провайдер пишет трафик характерен для торрентов, что создает значительную нагрузку на его сеть. То-есть он как бы и не утверждает что это торренты. По этому хочу отловить тот акк который эту нагрузку создает. В локальных сетях борюсь с торрентами с помощью маркировки трафика и Simple Queues. Душу то что не относится к избранным ресурсам и обычному веб трафику. Но как тоже самое провернуть с впн клиентами, ума не хватает. Отловить по объему трафика это для меня самое очевидное решение. Но возможно у кого то есть другие предложение, буду рад его узнать )
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ограничение по трафику
А в чём проблема те же самые правила использовать для VPN-клиентов?..
-
- Сообщения: 4
- Зарегистрирован: 15 янв 2024, 20:18
Re: Ограничение по трафику
Спасибо за наводку. Задачу решил. Ошибка была в том что впн клиентов пытался маркировать в цепочке форвард. Оказалось надо в цепочке output. Несколько месяцев угробил ))))
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ограничение по трафику
Хм.. Ну, строго говоря, output - это уже сам трафик тоннеля, внутри которого полезная нагрузка. А в forward всё ещё можно и нужно маркировать пользовательский трафик, который ещё не завёрнут в VPN. Почему маркировка в forward не удалась - надо смотреть на конкретные правила
-
- Сообщения: 4
- Зарегистрирован: 15 янв 2024, 20:18
Re: Ограничение по трафику
Не являюсь большим специалистом. Но думаю что дело в том что трафик от впн клиента является так же и исходящем от сетевого интерфейса (VPN интерфейса) самого микротика а не клиента сидящего за NAT. По сути это исходящий трафик самого микротика который подпадает под цепочку output. Трафик же от клиентов за нат является проходящим то-есть цепочка форвард. В итоге в мангле создал в прерутинге маркировку соединений на 80, 8080, 443 порты и ряд других нужных, промаркировал пакеты внутри этих соединений и в очередях настроил шейпер, с безлимитным трафиком на web ресурсы и зарезал до 64 кб все остальное что не маркировано. Пока работает, посмотрю что будет дальше.
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ограничение по трафику
Ну, по идее, там должно быть что-то вроде chain=input для трафика VPN-тоннеля, потом декапсуляция, потом chain=forward для трафика клиента в Интернетики и обратно, потом запаковка ответов в VPN-тоннель - и после этого chain=output для трафика VPN-тоннеля. Ну, если работает и устраивает - тогда вопрос снят