2014年5月25日 星期日

MikroTik RouterOS 限制UDP connection連線數的方法

L7-filter Supported Protocols 網站上已經告訴大家:Last updated 7 Jan 2009

從2009年至今,各式p2p演變甚大,各式加密方法加諸其上,傳統的L7-filter Supported Protocols已經無法抵擋了,只會徒增加硬體負擔。

既然要抓出各式各樣的p2p是有其困難,山不轉路轉,可以試試採用限制udp連線數的方式(UDP connection-limit),包含多數bt下載、迅雷、等都可有效控制。

官網上有這段:
Starting already from v5.7 connection-limit can be used to limit other protocols, too.
簡單說就是可以限制很多的協定啦,如tcp、udp、igmp、icmp、等等。

我的版本:v6.13(從v5.7之後都有支援upd connection-limit)

操作方式如下,一樣截圖讓大家依樣畫葫蘆玩玩:
限制每台client使用者50個udp連線上限(50個只是舉例,請依照您的環境自行調整,建議先觀察各類p2p下載時的udp連線數目,再來限制)

下指令可以這樣:
/ip firewall filter
add chain=forward action=drop protocol=udp connection-limit=50,32