ROS禁用P2P思路及问题(关键是遇到了问题)

ivven

目前的网络环境是一条ADSL在一栋楼上通过路由器做共享，由于带宽太低，所有只要有一个用户开启P2P下载软件，全楼用户都会受到严重影响。所以决定使用ros对P2P进行阻截，但是过程有点问题，有些东西没有按照预先的思路走下去，主要是才疏学浅，所以想把思路发上来供大家参考，然后还请大家指点下下...


网络拓扑结构大概如下：

                               
登录/注册后可看大图

ROS配置如下：

/interface bridge add name="bri" disabled=no
/interface bridge port add interface=ether1 bridge=bri
/interface bridge port add interface=ether2 bridge=bri

[admin@MikroTik] > ip firewall fil print

0   chain=forward p2p=all-p2p action=drop

1   chain=forward protocol=tcp dst-port=80 action=accept

2   chain=forward protocol=tcp dst-port=0-1025 action=accept

3   chain=forward protocol=udp dst-port=53 action=accept

4   chain=forward protocol=udp dst-port=4000-4003 action=accept

5   chain=forward protocol=tcp dst-port=8000 action=accept

6   chain=forward protocol=udp dst-port=8000 action=accept

7 X chain=forward protocol=tcp src-port=0-65535 dst-port=0-65535 action=drop

8 X chain=forward protocol=udp src-port=0-65535 dst-port=0-65535 action=drop
[admin@MikroTik] >

思路：
1.利用反关闭端口实现拦截P2P
2.利用ROS自带识别P2P协议拦截P2P流量
3.使用静态ARP绑定( 未添加)
4.使用Qos来限制总上行、下行带宽( 未添加)
5.使用Qos限制每用户上行下行带宽( 未添加)
6.内网使用ARP防火墙软件保护内网安全( 未添加)



按照上述已做内容，会出现故障，如果启用最后两条规则QQ可以启用，但是网页浏览不能访问，不知道是不是规则做的有问题，但是允许规则应该是正确的 QQ在启用最后两条全封闭策略后仍然可以访问，难道IE浏览需要其他端口？还是端口范围添加规则有问题（rule2)?

有实现上述环境的同行请赐教下....

畅所欲言

[ 本帖最后由 ivven 于 2007-5-4 13:28 编辑 ]

ivven

沉的这么快，60个人看没一个人说话....
已经通过PPPOE SERVER限制用户带宽来实现了部分效果。效果还算差不多

naboo

你ADSL上行是多少啊，太小了的话，做共享也没有太大意义

winepo

顶先

user31

你的第4条规则就是开启QQ的
你的最后两条是关闭什么的啊?
在访问网站的时候我们的S-PORT是1024-65535的其中一个你说你关闭了所有的端口还
上什么网啊?>

9939781

什么游戏都玩不成

xxaijlq1314

``````````

artico

把
0   chain=forward p2p=all-p2p action=drop

放到最后面试试。。。

sision

我还是不怎么懂,有谁做个超级详细的教程出来吗?

crack_ros

防火墙的执行是从上往下的

禁止的条目太笼统所以数据根本过不了

你最好指定网段和 网卡（interface）

作PPPOE最好了 直接限制带宽

不过ADSL做共享客户多了等于自杀 本身ADSL的MODEM就是瓶颈