Edgerouter Lite Block uTorrent etc. (p2p) / Блокировка торрент трафика. | Ubiquiti форум UBNT: инструкции, настройка

Edgerouter Lite Block uTorrent etc. (p2p) / Блокировка торрент трафика.

dimacbz

Moderator
16 Июн 2014
1.493
242
75
Всем привет. На днях была получена задача о блокировке всего Torrent трафика (p2p) роутером Edgerouter Lite. Я думаю, что пост будет полезен всем, кто ищет решение данной задачи.

ВНИМАНИЕ! Перед тем как делать что-то, всегда делайте BACKUP настроек роутера.
На роутере (ERL) стоит свежая прошивка 1.8.0 и включен DPI. Данная инструкция совместима только с роутерами: ERL, POE-5, ER8 или ER8Pro.

Базовую настройку Edgerouter Lite я описывать не буду, т.к. все делается элементарно во вкладке @Wizard@. После базовой настройки у вас должны появится во вкладке @Firewall/NAT@--->@Firewall Policies@---> WAN_IN и WAN_LOCAL в каждом по 2-а правила.
Итак, приступим.
eth0 - internet (DHCP); eth1 - local (192.168.0.1/24); eth2 - у меня пока что не используется.

Заходим в CLI или через консольный кабель при помощи Putty или по SSH. Вводим свой логин и пароль.
Далее в консоли набираем:
Код:
configure
set firewall name LAN_IN default-action accept
commit
save

set firewall name LAN_IN rule 10 action reject-tcp
set firewall name LAN_IN rule 10 protocol tcp
set firewall name LAN_IN rule 10 application category P2P
set firewall name LAN_IN rule 10 description Send TCP RST for P2P
commit
save

set firewall name LAN_IN rule 20 action reject
set firewall name LAN_IN rule 20 application category P2P
set firewall name LAN_IN rule 20 description Send ICMP unreachable for P2P
commit
save

set firewall name WAN_OUT default-action accept
commit
save

set firewall name WAN_OUT rule 10 action reject-tcp
set firewall name WAN_OUT rule 10 protocol tcp
set firewall name WAN_OUT rule 10 application category P2P
set firewall name WAN_OUT rule 10 description Send TCP RST for P2P
commit
save

set firewall name WAN_OUT rule 20 action reject
set firewall name WAN_OUT rule 20 application category P2P
set firewall name WAN_OUT rule 20 description Send ICMP unreachable for P2P
commit
save
В итоге у нас появятся 2-а дополнительных LAN_IN и WAN_OUT с 2-мя правилами.
Далее:
Заходим в @Firewall/NAT@--->@Firewall Policies@---> и там правим:
1) LAN_IN ---> Actions ---> Edit Ruleset ---> Interfaces ---> Interface=eth1/Direction=in
Save
2) WAN_IN ---> Actions ---> Edit Ruleset ---> Interfaces ---> Interface=eth0/Direction=in
Save
3) WAN_LOCAL ---> Actions ---> Edit Ruleset ---> Interfaces ---> Interface=eth0/Direction=local
Save
4) WAN_OUT ---> Actions ---> Edit Ruleset ---> Interfaces ---> Interface=eth0/Direction=out
Save
Получаем:


Если сделал опечатку/ошибку - поправьте.
Если помог, поставь лайк =)

При копировании материала на другой ресурс, ссылка на данную тему ОБЯЗАТЕЛЬНА!
Свой сервер авторизации WIFI по СМС
 
Последнее редактирование:

Zyberex

участник
28 Апр 2016
8
3
5
48
EdgeRouterLite 1.8.0 когда добавляешь описания рулесов
"set firewall name LAN_IN rule 10 description Send TCP RST for P2P" ругается на строку,
"The specified configuration node is not valid"
Ставил так - "set firewall name LAN_IN rule 10 description Send_TCP_RST_for_P2P"

PS Спасибо за описание ТС.
 
Последнее редактирование:
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.493
242
75
EdgeRouterLite 1.8.0 когда добавляешь описания рулесов
"set firewall name LAN_IN rule 10 description Send TCP RST for P2P" ругается на строку,
"The specified configuration node is not valid"
Ставил так - "set firewall name LAN_IN rule 10 description Send_TCP_RST_for_P2P"

PS Спасибо за описание ТС.
Незачто ;)
 

sp3cra1

новичок
22 Сен 2018
3
0
3
36
Добрый день!
Имеется EdgeRouter X, прошивка EdgeOS v1.10.5. ПК с торрент-клиентом µTorrent 2.0. Добавил все правила согласно вашей инструкции. Закачка идёт нормально, но сидировать не удаётся. Раздача скаченного контента не происходит. Пытался отключить фаерволл на ER-X через ssh следующим образом:
# delete interfaces ethernet eth0 firewall in
# commit
Результата не дало. Когда подключаю старый D-Link DIR-100, раздача тех же файлов идёт нормально. Прошу помочь советом, заранее спасибо.
 

sp3cra1

новичок
22 Сен 2018
3
0
3
36
В моём случае, на интерфейсе eth0 есть pppoe0, насколько я понимаю? для WAN_LOCAL нужно указать pppoe0/local. Остальные правила будут без изменений?
 
Последнее редактирование:
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.493
242
75
В моём случае, на интерфейсе eth0 есть pppoe0, насколько я понимаю? для WAN_LOCAL нужно указать pppoe0/local. Остальные правила будут без изменений?
Да. Статья писалась 2,5 года назад. За это время в прошивках много чего поменялось. На данный момент не использую роутеры этой компании и соответственно не на чем проверить правила.
 

sp3cra1

новичок
22 Сен 2018
3
0
3
36
К сожалению, с указанными выше правилами фаерволла, сидировать не удаётся. Проблема решилась пробросом портов!
Сначала заходим в торрент-клиент и говорим ему использовать фиксированный порт (чтобы он не менялся рандомно при запуске приложения). Далее идём в шашборд EdgeOS.
Firewall/NAT -> Port Forwarding
WAN interface: pppoe0 (интерфейс с инетом)
Hairpin NAT: (ставим галочку)
LAN interface: eth1 (порт, в который подключен комп с торрент-клиентом)
Original port: (указываем порт, который прописали в торрент-клиенте)
Protocol: both
Forward-to-address: (ip адрес компа на котором используется торрент-клиент)
Forward-to-port: (указываем тоже самое, что в Original port)
 
Автор
dimacbz

dimacbz

Moderator
16 Июн 2014
1.493
242
75
К сожалению, с указанными выше правилами фаерволла, сидировать не удаётся. Проблема решилась пробросом портов!
Сначала заходим в торрент-клиент и говорим ему использовать фиксированный порт (чтобы он не менялся рандомно при запуске приложения). Далее идём в шашборд EdgeOS.
Firewall/NAT -> Port Forwarding
WAN interface: pppoe0 (интерфейс с инетом)
Hairpin NAT: (ставим галочку)
LAN interface: eth1 (порт, в который подключен комп с торрент-клиентом)
Original port: (указываем порт, который прописали в торрент-клиенте)
Protocol: both
Forward-to-address: (ip адрес компа на котором используется торрент-клиент)
Forward-to-port: (указываем тоже самое, что в Original port)
Вы темой ошиблись. Здесь описывается, как заблокировать трафик. Чтобы люди "НЕ СИДИРОВАЛИ"!