Ограничение сессий на порты 10000-65000.

[poxy.]

Или после маркировки фаером режешь?

add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=0.0.0.0/0 interface=vlan111xxx limit-at=50M/50M \
    max-limit=60M/60M name=torrent packet-marks=maybetorrent parent=none priority=8 queue=default/default total-queue=default-small

Не пойму, это правило для фаервола или симпл куе?

[stix]

Или после маркировки фаером режешь?

add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=0.0.0.0/0 interface=vlan111xxx limit-at=50M/50M \
    max-limit=60M/60M name=torrent packet-marks=maybetorrent parent=none priority=8 queue=default/default total-queue=default-small

Не пойму, это правило для фаервола или симпл куе?
для простой очереди, да.

в файрволе дропать пакеты не комильфо

[poxy.]

Просто в терминал скопипастил пишет неверный синтаксис, почему за фаер спросил, в куе ти нет dst-address=0.0.0.0/0

[poxy.]

Все, сорри туплю, симпл куе. Спасибо

[poxy.]

Пришлось сделать отдельные правила на upload и download, с разными интерфейсами. Кстати а в дереве что то используете? У нас куе ти по этому настраивал http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf, не будет ли влиять настроенное дерево на эти правила для портов?

[stix]

Пришлось сделать отдельные правила на upload и download, с разными интерфейсами. Кстати а в дереве что то используете? У нас куе ти по этому настраивал http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf, не будет ли влиять настроенное дерево на эти правила для портов?

раньше юзал, теперь нет.
достаточно для временного решения этого

хотя жалоб много по-поводу игр, скайпа

[poxy.]

Мне и нужно временное решение, дожить до расширения канала... через 2 месяца.

[poxy.]

А когда дропал порты выше 10000, что со скайпом делал? Попробовал просто дроп, скайп не звонит 

[stix]

А когда дропал порты выше 10000, что со скайпом делал? Попробовал просто дроп, скайп не звонит 

в шейпер
ниче не дропал

[poxy.]

Ясно, спасибо еще раз.

[stix]

Ясно, спасибо еще раз.

не за что )

[poxy.]

И еще вопросик - почему именно так 6000-33433,33536-65535, а не 6000-65535?
ПС карму плюсанул, спс еще раз.

[stix]

И еще вопросик - почему именно так 6000-33433,33536-65535, а не 6000-65535?
ПС карму плюсанул, спс еще раз.

исключаю порты, используемые трассировкой

часто встречается заблуждение, что traceroute, как и ping, работает только по протоколу ICMP, в связи с этим начинающие администраторы, разрешив в файерволе протокол ICMP, получают рабочий ping и нерабочий traceroute, для этого разрешить в файрволе UDP-пакеты на порты выше 33434 (в некоторых источниках указано, что достаточно указать диапазон портов от 33434 до 33534).

[poxy.]

Понятно, спасибо.

[goletsa]

tracert (win) работает через icmp
traceroute (*nix) по умолчанию работает через udp
Чтобы traceroute работал через icmp надо задать ключ -I, но это работает только с правами root