Как заблокировать steam на роутере mikrotik

hope

Сообщения: 4
Зарегистрирован: 28 мар 2018, 23:12

заблокировать Dota и Steam

добрый день
есть задача заблокировать Дота2 и Стим
Клиент Steam
от 27000 до 27015 UDP включительно (игровой трафик)
от 27015 до 27030 UDP включительно (как правило проведение матчей и HLTV)
от 27014 до 27050 TCP включительно (загрузки Steam)
27031 и 27036 UDP (входящие, для домашних трансляций)
27036 и 27037 TCP (входящие, для домашних трансляций)
UDP 4380

Выделенные или прослушивающие серверы
TCP 27015 (порт RCON для SRCDS)

P2P-сеть Steamworks и голосовой чат Steam
UDP 3478 (исходящий)
UDP 4379 (исходящий)
UDP 4380 (исходящий)

What protocol and ports does Dota 2 use?
Our game servers are on UDP ports 27015 through 27040. The spectating UDP ports are 28020 through 28045 and 28120 through 28145. By default, your client opens UDP port 27005 or your computer to connect to the game servers.

написал в WinBox правила — прописал drop — смотри картинку. не работает, помогите, пжлста

drop01.jpg
drop01.jpg (77.2 КБ) 11124 просмотра

Аватара пользователя

Samych

Сообщения: 7
Зарегистрирован: 05 фев 2018, 14:23
Откуда: Архангельск

Re: заблокировать Dota и Steam

Сообщение

Samych »

Добрый день.
Для начала я бы прописал порты вот так: 3478,4379,4380,27000-27031,27036,28020-28045,28120-28145
удобнее указывать диапазон, чем перечислять каждый :)
порты указал бы в DST

С уважением, Олег.

Аватара пользователя

Chupaka

Сообщения: 3749
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: заблокировать Dota и Steam

Сообщение

Chupaka »

Не работает — значит, заблокировано, значит, всё как надо :)

Диапазоны портов можно так и указывать: «27000-27050,3478,4379»

На картинке я бы ещё нажал чёрный треугольник вверх напротив полей Src. и Dst. Port, чтобы глаза не мозолило.

Правило пакеты ловит или нет? А то на скриншоте сложно переключиться на вкладку «Statistics».

Также под вопросом «in-interface=all-wireless» — у вас беспроводная сеть является L3-интерфейсом, или всё же портом бриджа? В последнем случае надо в интерфейсе указывать сам бридж.

hope

Сообщения: 4
Зарегистрирован: 28 мар 2018, 23:12

Re: заблокировать Dota и Steam

Сообщение

hope »

Samych писал(а): ↑29 мар 2018, 11:46
Добрый день.
Для начала я бы прописал порты вот так: 3478,4379,4380,27000-27031,27036,28020-28045,28120-28145
удобнее указывать диапазон, чем перечислять каждый :)
порты указал бы в DST

Спасибо, прописал вот так в dst

drop02.png
drop02.png (8.62 КБ) 11107 просмотров

Последний раз редактировалось hope 29 мар 2018, 22:40, всего редактировалось 2 раза.

hope

Сообщения: 4
Зарегистрирован: 28 мар 2018, 23:12

Re: заблокировать Dota и Steam

Сообщение

hope »

Chupaka писал(а): ↑29 мар 2018, 11:50
Не работает — значит, заблокировано, значит, всё как надо :)

Диапазоны портов можно так и указывать: «27000-27050,3478,4379»

На картинке я бы ещё нажал чёрный треугольник вверх напротив полей Src. и Dst. Port, чтобы глаза не мозолило.

Правило пакеты ловит или нет? А то на скриншоте сложно переключиться на вкладку «Statistics».

Также под вопросом «in-interface=all-wireless» — у вас беспроводная сеть является L3-интерфейсом, или всё же портом бриджа? В последнем случае надо в интерфейсе указывать сам бридж.

Спасибо за ответы.

нет, не блочит -в статистике 0 и сын играет в дота
прописал как советовали — смотри предыдущий пост
про bridge — наверное все-таки бридж.
можете дать ссылку где про это прочитать или кратко пояснить ?

Аватара пользователя

Chupaka

Сообщения: 3749
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: заблокировать Dota и Steam

Сообщение

Chupaka »

Во время игры Tools -> Torch, там выбрать Interface = bridge, поставить галки Protocol, Port, ввести адрес компьютера в Src. Address — и нажать Start. Будет видно, какой трафик создаёт данная машина.

Ну и вы очень хитро делаете, показывая только блокирующие правила. А вы их на самый верх списка вынесли? А то может там у вас раньше ещё семь правил, которые данный трафик разрешают — поэтому обработка нужных пакетов до блокирующих даже не доходит.

hope

Сообщения: 4
Зарегистрирован: 28 мар 2018, 23:12

Re: заблокировать Dota и Steam

Сообщение

hope »

Chupaka писал(а): ↑30 мар 2018, 10:29
Во время игры Tools -> Torch, там выбрать Interface = bridge, поставить галки Protocol, Port, ввести адрес компьютера в Src. Address — и нажать Start. Будет видно, какой трафик создаёт данная машина.

Ну и вы очень хитро делаете, показывая только блокирующие правила. А вы их на самый верх списка вынесли? А то может там у вас раньше ещё семь правил, которые данный трафик разрешают — поэтому обработка нужных пакетов до блокирующих даже не доходит.

Спасибо
Показывал не хитро, просто вырезал меньше чтобы не путать. Так они 8 и 9—е правила
Подниму выше, спасибо, может поможет

usag

Сообщения: 2
Зарегистрирован: 11 апр 2018, 07:17

Re: заблокировать Dota и Steam

Сообщение

usag »

блокирую порты так он начинает качать на других портах что не так делаю но я хочю ограничить только загрузку но чтобы играть можно было

Аватара пользователя

Chupaka

Сообщения: 3749
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: заблокировать Dota и Steam

Сообщение

Chupaka »

Для начала, надо знать, на каких портах кто играет, а на каких — качает. Потом, например, разрешить игровые и заблокировать все остальные.

Источник

For people living in third world economies, where uncapped high speed broadband internet is only a myth, we are forced to come up with creative means of managing our bandwidth.

The scenario is this:
You have two internet connections, one, a high speed capped internet connection, the other a low speed uncapped option. You would want all game and Steam client traffic to run over the high speed connection, but all Steam downloads have to be routed through the slow uncapped connection. We assume that the default route is through the uncapped connection, and only specific traffic gets routed over the high speed link.

From the Steam website you can find the following port information:

Steam Client:

  • UDP 27000 to 27015 inclusive (Game client traffic)
  • UDP 27015 to 27030 inclusive (Typically Matchmaking and HLTV)
  • TCP 27014 to 27050 inclusive (Steam downloads)
  • UDP 4380

Dedicated or Listen Servers

  • TCP 27015 (SRCDS Rcon port)

Steamworks P2P Networking and Steam Voice Chat

  • UDP 3478 (Outbound)
  • UDP 4379 (Outbound)
  • UDP 4380 (Outbound)

Additional Ports for Call of Duty: Modern Warfare 2 Multiplayer

  • UDP 1500 (outbound)
  • UDP 3005 (outbound)
  • UDP 3101 (outbound)
  • UDP 28960

Now, based on this we want to route all steam traffic apart from Steam Downloads (TCP 27015-27050) via the high speed link, so we start by marking the packets that we want to route to our high speed link:

Having marked the packets appropriately, we want to tell the Mikrotik firewall to route it through a specific gateway:

That’s it, you will now be able to use Steam voice chat and the Steam Client through your high speed link with downloads running over you uncapped connection.

Источник

I have PPPoE Server running for my LAN users through Mikrotik (PPPoE Users IPs = 192.168.0.0/16), my Mikrotik router also provides DHCP for LAN users (LAN Users IPs = 172.16.0.0/16) however my DHCP Server only provides IP Address and Appropriate Subnet Mask to LAN users through DHCP (172.16.0.3/255.255.0.0). Now I want to Block Games Over the Network such as Counter Strike. I know that Counter Strike uses TCP 27015 but no matter I make filter rules it does not block Counter Strike over LAN. Basically I don’t want my LAN users to make their own Counter STrike Game servers instead I will create one for them.

If you want to isolate your clients , set up client isolation on the AP’s/ OR Do Port isolation on the switch ports . Then no matter what settings user places on their PC, they will not be able to scan and find other hosts on the network.

If it’s not possible for u get manageable switches, Then the very last you can do is to limit there access by create DHCP subnet of /32
Goto DHCP-server > Networks (Take properties of your subnet) > Set Netmask to 32.
This way user will get 255.255.255.255 subnet and it will prevent them from being able to directly access other users computers.

But Remember, It makes it a bit more difficult to scan using this trick, but it is easier to change IP and your MAC address as client have full control over there pc’s. It just At it’s best. it prevents normal/casual users, but there is nothing to prevent people that are determined to do so.

Also Place your Counter Strike Server behind Mikrotik’s DMZ, this way only pppoe connected users will be able to Connect with your CS Server.

Use Firewall Filters rules then to allow/deny access to specific targets.

You mentioned you are using src-port=27000-27050, source ports are dynamic, they changem
use dst-port instead.

Источник

In this article, I will show you how to block games using mikrotik router, the game includes PUBG, LOL, DOTA and so on.

Block games ( PUBG LOL DOTA ) using Mikrotik router

Create Address List

Go to «IP» > «Firewall» > «Address Lists»

First you will name your IP Lan block. In this article I named it «Lan IP». My local network address is 192.168.1.0/24. 

Block games ( PUBG LOL DOTA ) using Mikrotik router

Create Raw Rule

Go to «IP» > «Firewall» > «Raw».

I will block «pubg mobile» first and you can easily do blocking with other games.

Block games ( PUBG LOL DOTA ) using Mikrotik router

Block games ( PUBG LOL DOTA ) using Mikrotik router

Block games ( PUBG LOL DOTA ) using Mikrotik router

To block the pubg mobile I will create a list of IP addresses of pubg servers.

Next step I will create a rule. To do that you need a list like the one above, this list I put here, you can copy it:

GAME PORTS

———————

PUBG Mobile

TCP : 7889,10012,17500,18081

UDP : 8011,9030,10010-10650,11000-14000,17000,20000,20001,20002

PUBG PC

TCP: 27015-27030,27036-27037

UDP: 4380,27000-27031,27036

FREE FIRE

TCP : 7006,14000,20561,39698,39779,39003

UDP : 7008,10000-10009,17000

MOBILE LEGENDS

TCP : 5500-5700,8001,30000-30300,9000-9010

      30097-30147,30000-30150,9001,30101-30105,5057,5228,5001-5009,

      5520-5529,5551,5651,5153

UDP : 5000-5200,5500-5700,8001,30000-30300,9000-9010

      5601-5602,5025,5605,5005,5503,5101-5109,5001-5009,30101,

      5520-5529,5020-5024,5501-5509,5517

POINT BLANK

TCP : 39190-39200,49001-49190

UDP : 40000-40010

AOV

TCP : 10001-10094

UDP : 10101-10201,10080-10110,17000-18000

GARENA LEAGUE OF LEGEND (LOL):

TCP : 2080-2099

UDP : 5100

DOTA 2 

TCP : 9100-9200,8230-8250,8110-8120,27000-28998

UDP : 27000-28998,39000

This is essentially how to get the IP address of the pubg servers, and memorize it on the mikrotik router.

You create two rules for TCP and UDP, and here is the list of PUBG server ip addresses that you will receive.

Block games ( PUBG LOL DOTA ) using Mikrotik router

Every time someone play pubg mobile the server IP address will be stored here. 

Create Mangle Rule

Go to «IP» > «Firewall» > «Mangle». Based on the list of available PUBG server ip addresses, you will block them. I will mark the connection of packets from the local area network to the PUBG server.

Block games ( PUBG LOL DOTA ) using Mikrotik router

General

Chain : prerouting

Advanced

Src.Address List : LAN-IP, Dst.Address List : PUBG_Mobile

Action

Action : Mark Connection, New Connectiong Mark : PUBGM_Route

Create Filter Rule

Go to «IP» > «Firewall» >»Filter Rules»

General

Chain : forward, Connect Mark : PUBGM_Route

Action

Action : drop

Block games ( PUBG LOL DOTA ) using Mikrotik router

After creating the filter rule the pubg mobile will be blocked. For other games you do the same as above.

Facebook: https://www.facebook.com/routerbest

Twitter: https://twitter.com/routerbestcom

Tags: Mikrotik

Источник

Время на прочтение
3 мин

Количество просмотров 173K

На написание данной статьи меня сподвиг тот факт, что старший ребенок стал по ночам вместо того чтобы укладываться спать, смотреть на своем смартфоне всякие ролики на youtube, до поздней ночи, а так же замена домашнего роутера с TP-Link TL-WR1043ND на MikroTik RB951G-2HnD.

Поизучав интернеты, наткнулся на презентацию от 2017 года на канале микротика в ютубе. Там описывалось, как не надо делать и как делать правильно. Возможно, для многих продвинутых пользователей MikroTik и RouterOS это не будет открытием, но надеюсь что поможет начинающим пользователям, как я, не заблудиться в дебрях вариантов, предлагаемых в интернете.

Начнем с часто предлагаемого варианта в интернете (так не надо делать!!!):

● /ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*$"
add name=facebook regexp="^.+(facebook).*$"

● /ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube

У данного решения следующие минусы: высокая нагрузка на cpu, увеличенная latency, потеря пакетов, youtube и facebook не блокируются.

Почему так происходит? Каждое соединение проверяется снова и снова, Layer7 проверяется не в том месте, что приводит к проверке всего трафика.

Правильное решение

Создаем правило с регулярным выражением для Layer7:

● /ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube).*$"

Я блочил только ютуб, если нужен фейсбук или что-то иное, создает отдельные правила

add name=facebook regexp="^.+(facebook).*$"

Можно создавать правила и для других сервисов стримминга видео, вот один из вариантов: 

regexp=”^.*youtube.com|youtu.be|netflix.com|vimeo.com|screen.yahoo.com|dailyMotion.com|hulu.com|twitch.tv|liveleak.com|vine.co|break.com|tv.com|metacafe.com|viewster.com).*$”

Далее создаем правила для маркировки соединений и пакетов:

● /ip firewall mangle
add action=mark-connection chain=prerouting protocol=udp 
dst-port=53 connection-mark=no-mark layer7-protocol=youtube new-connection-mark=youtube_conn passthrough=yes 
add action=mark-packet chain=prerouting connection-mark=youtube_conn new-packet-mark=youtube_packet

и правила для фильтра файрвола:

● /ip firewall filter
add action=drop chain=forward packet-mark=youtube_packet
add action=drop chain=input packet-mark=youtube_packet

У меня в домашней сети по dhcp раздаются статические ip-адреса, поэтому фильтр я применял к ip-адресу смартфона ребенка, можно создать группу адресов и применить к ней. Идем в меню IP>Firewall>AddressList нажимаем кнопку Add, вводим название группы и не забываем заполнить список адресов для блокировки.

Далее идем меню IP>Firewall>Mangle выбираем наши mark_connection и mark_packet и в поле Src. Address вбиваем блокируемый ip либо группу.

Все, девайс остался без ютуба, жестко, но в воспитательных целях нужно.

Так же можно применять эти правила по расписанию.

Буду рад комментариями и поправкам, если вы заметите какие то неточности, т.к. это моя первая статья на Хабре. По материалам канала MikroTik на Youtube. Внимание, эта статья не о том как ограничить доступ ребенку в интернет, ограничение доступа в ютуб — это просто пример. Статья об одном из способов ограничения доступа к нежелательным ресурсам.

Updt1, от avelor, блок по mac:

 ● /ip firewall filter
    add chain=input src-mac-address=aa:bb:cc:dd:ee:ff action=drop
    add chain=forward src-mac-address=aa:bb:cc:dd:ee:ff action=drop

можно заблочить и в dhcp — сделать lease и жмякнуть block access

Источник

  • Как заблокировать youtube на роутере asus
  • Как заблокировать skype на роутере
  • Как заблокировать mac адрес на роутере tp link
  • Как заблокировать youtube канал на роутере
  • Как заблокировать wot blitz на роутере