Как заблокировать торренты на микротике

Mikrotik
Довольно распространенная проблема в организациях — хотя бы один пользователь начинает качать торрент, забивая при этом весь канал и процессор роутера большим количеством запросов. Если у Вас установлен роутер от Mikrotik, можно заблокировать мусорный трафик. Для это запустим консоль и добавим следующие правила:

/ip firewall layer7-protocol
add name=torrentsites regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|entertane|demonoid|btjunkie|mininova|flixflux|torren\
    tz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflu\
    x|seedpeer|fenopy|gpirate|commonbits).*\$"


/ip firewall filter
add action=drop chain=forward connection-limit=15,32 dst-address=!192.168.0.1 limit=1,5 protocol=tcp src-address=192.168.0.0/24 
add action=drop chain=forward connection-limit=3,32 dst-address=!192.168.0.1 protocol=udp src-address=192.168.0.0/24
add action=drop chain=forward comment=keyword_drop content=torrent src-address=192.168.0.0/24
add action=drop chain=forward comment=trackers_drop content=tracker src-address=192.168.0.0/24
add action=drop chain=forward comment=get_peers_drop content=getpeers src-address=192.168.0.0/24
add action=drop chain=forward comment=info_hash_drop content=info_hash src-address=192.168.0.0/24
add action=drop chain=forward comment=announce_peers_drop content=announce_peers src-address=192.168.0.0/24
add action=drop chain=forward comment=torrentsites layer7-protocol=torrentsites src-address=192.168.0.0/24
add action=drop chain=forward comment=dropDNS dst-address=!192.168.0.1 dst-port=53 layer7-protocol=torrentsites protocol=udp \
    src-address=192.168.0.0/24

Соответственно 192.168.0.0/24 нужно заменить на вашу сеть или диапазон адресов вида 192.168.0.2-192.168.0.10 (чтобы была возможность самому качать).

12 комментариев

avatar
жестоко, но полезно
avatar
Хотелось бы почитать про организацию работы с двумя провайдерами и балансировку нагрузки на оба канала… Нормальных статей про это на микротиках я еще не видел =)
avatar
так не пробовали?
forum.mikrotik.com/viewtopic.php?p=357576#p357576
avatar
спасибо большое) помучаю эти правила, но видимо пока я до этого не дорос ещё =) очень смутно понимаю происходящее в mangle =((
В общем, насколько я понял, нужно настроить роутинг маркированых wan1 на первого прова, wan2 на второго… Завернуть http траф на проксик, задать правила NAT'а на оба порта, а дальше в mangle происходит чудо, которое я понял очень смутно =\
буду мучить