Есть ли возможность в правилах layer7 микротика производить замену содержимого пакетов? Например, в RTSP-потоке от китайской камеры мне надо заменить битый AAC-атрибут аудио-дорожки "config=0400" (из-за которого не воспроизводится звук), на верный "config=0C08".
Сколько-то снимет. Как и любое действие по оптимизации - к сожалению не понятно в чем оценить и с чем сравнить. Даже положение правил влияет на потребление cpu.
Долго пытался настроить блокировку и вариант с 7 уровнем просто везде... Сейчас продолжаю париться этим вопросом и пришёл к использованию прокси сервера со сквидом на борту. Проблема с которой столкнулся при прописывании днс вручную - не понятно как использовать разные группы пользователей. К примеру организация различает 5 групп пользователей, которые не должны иметь доступ к определённым ресурсам. Может как-то и может, но разобраться не смог(
Было выступление с mum 2016. Можно оставить только разрешенные ports подключения. Можно сделать qos для неприоритетного трафика. Вариантов очень много.
@@MikrotikTraining вариантов очень много, mum2016 смотрел, но! Хотелось бы рассмотреть рабочий пример приоритезации остального трафика над торрентом с маркировкой трафика по портам и использованием правила L7 ^(\x13bittorent protocol|azver\x01$|get /scape\?info_hash=get /announce\?info_hash=|get /client/bittorent/|GET/data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP] Знаю ваши, Роман, ученики это осили, самостоятельно я к сожалению не смог. Если бы вы помогли, думаю многим было бы полезно. Спасибо.
Вы говорите, что layer 7 не подходит для фильтрации https соединений. А какое есть решение, в рамках роутера микротик, которое позволило бы отфильтровать ВСЕ домены ".net" (aa.net, bb.net, s1.bb.net, ... список безграничен) и перенаправить из в развёрнутый на микротике клиент wireguard? Я думал layer7 мне поможет с его регулярными выражениями, но похоже нет :( А другие решения найти не удаётся. IP под доменов бесконечное множества, поэтому перечислять из смысла нету. Ведь в теории, раз есть "DNS cache", значит наверное микротик мог бы по регулярному выражению вылавливать домены, помечать их, и позволить перенаправлять их куда нам нужно (VPN, или другой DNS, или ещё куда-нибудь), или ограничивать скорость отфильтрованных доменов. Но я почему-то не нахожу подобных решений. А если их нету, то непонятно почему? Ведь это была бы достаточно простая фильтрация доменов :-/ И не нужен был бы тяжёлый layer 7 (который не работает с https).
Есть опция tls-host, которая смотрит на заголовок сертификата. Layer7 тоже может посмотреть на заголовок сертификата. Но именно содержимое страниц оно не увидит. Так же later 7 может ловить dns запросы.
Подскажи, пожалуйста, какой самый актуальный способ блокировки видеохостингов (ютуб, иви, окко) и если возможно, запиши видео на примере. Думаю многие поддержат)
А что вам нужно от этого костыля? Хотите больше - посмотрите вебинар. Формат роликов предусматривает минимальное погружение и описание технологии для тех кто с ней не знаком.
Такой формат залетает отлично, сжато, тонко и по делу!
Спасибо!
Спасибо. В планах выложить еще много таких видео.
Коротко и ясно. Спасибо за ваш труд!
Именно в этом и задача)
Хороший формат роликов, не слушай критиков) они пусть сначала лучше сделают))))
Если бы слушал, давно бы канал закрылся)
Есть ли возможность в правилах layer7 микротика производить замену содержимого пакетов? Например, в RTSP-потоке от китайской камеры мне надо заменить битый AAC-атрибут аудио-дорожки "config=0400" (из-за которого не воспроизводится звук), на верный "config=0C08".
Кстати по поводу sip да и вообще про ip телефонию есть ли какие то рекомендации по настройки?
На канале asterisker есть мои мастер-классы - можно там посмотреть.
Сколько нагрузки снимает использование маркировки соединений?
Сколько-то снимет. Как и любое действие по оптимизации - к сожалению не понятно в чем оценить и с чем сравнить. Даже положение правил влияет на потребление cpu.
Долго пытался настроить блокировку и вариант с 7 уровнем просто везде...
Сейчас продолжаю париться этим вопросом и пришёл к использованию прокси сервера со сквидом на борту.
Проблема с которой столкнулся при прописывании днс вручную - не понятно как использовать разные группы пользователей. К примеру организация различает 5 групп пользователей, которые не должны иметь доступ к определённым ресурсам. Может как-то и может, но разобраться не смог(
Вот меня конкретно интересует блокировка peer to peer трафика. торренты очень нагружают канал.
Было выступление с mum 2016. Можно оставить только разрешенные ports подключения. Можно сделать qos для неприоритетного трафика. Вариантов очень много.
@@MikrotikTraining вариантов очень много, mum2016 смотрел, но!
Хотелось бы рассмотреть рабочий пример приоритезации остального трафика над торрентом с маркировкой трафика по портам и использованием правила L7
^(\x13bittorent protocol|azver\x01$|get /scape\?info_hash=get /announce\?info_hash=|get /client/bittorent/|GET/data\?fid=)|d1:ad2:id20:|\x08'7P\)[RP]
Знаю ваши, Роман, ученики это осили, самостоятельно я к сожалению не смог. Если бы вы помогли, думаю многим было бы полезно. Спасибо.
А еще L7 в ОС v7 реагирует на некоторые выражения иначе, чем на ОС v6.
Приведите пример для всех, пожалуйста.
Вы говорите, что layer 7 не подходит для фильтрации https соединений.
А какое есть решение, в рамках роутера микротик, которое позволило бы отфильтровать ВСЕ домены ".net" (aa.net, bb.net, s1.bb.net, ... список безграничен) и перенаправить из в развёрнутый на микротике клиент wireguard?
Я думал layer7 мне поможет с его регулярными выражениями, но похоже нет :( А другие решения найти не удаётся.
IP под доменов бесконечное множества, поэтому перечислять из смысла нету.
Ведь в теории, раз есть "DNS cache", значит наверное микротик мог бы по регулярному выражению вылавливать домены, помечать их, и позволить перенаправлять их куда нам нужно (VPN, или другой DNS, или ещё куда-нибудь), или ограничивать скорость отфильтрованных доменов.
Но я почему-то не нахожу подобных решений. А если их нету, то непонятно почему? Ведь это была бы достаточно простая фильтрация доменов :-/ И не нужен был бы тяжёлый layer 7 (который не работает с https).
Есть опция tls-host, которая смотрит на заголовок сертификата. Layer7 тоже может посмотреть на заголовок сертификата. Но именно содержимое страниц оно не увидит. Так же later 7 может ловить dns запросы.
Подскажи, пожалуйста, какой самый актуальный способ блокировки видеохостингов (ютуб, иви, окко) и если возможно, запиши видео на примере. Думаю многие поддержат)
На x86 тогда уж лучше собирать систему
Для этого есть snort, suricata, для web есть proxy, тут скорее просто какие-то мелкие вещи отловить.
@@MikrotikTraining я про нехватку процессорной производительности! В общем! Там неплохая система получиться, единственное с лицензией будут костыли!
все сведется к тому, что без насильно устанавливаемого сертификата ничего не будет просматриваться.
С layer 7 такой фокус не пройдёт. Это не proxy)
Блокировка UA-cam от скачивания видео с помощью Mikrotik
Бесполезная демагогия, практики 0 ( тов. Козлов, я разочарован
А что вам нужно от этого костыля? Хотите больше - посмотрите вебинар. Формат роликов предусматривает минимальное погружение и описание технологии для тех кто с ней не знаком.
Для начинающих микротеров, как для меня, урок очень полезный. Спасибо за урок. Ждем следующий.
Всё чётко и предельно ясно рассказано.