Tópico: Limite de Conexoes - Metodo mais flexivel.

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

E arriscado liberar a porta 80 do limite de conexões, devido a programas p2p que usam criptografia ou gerenciadores de download que fazem uso de conexões simultaneas na porta 80.

Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

/ ip firewall filter
add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

Glauber,

muito interessante essas regras, só minha única dúvida, é que na tabela filter, voce adicionando a regra pegando a rede toda (Ex 192.168.0.0/24) e no limite de conexoes selecionar /32 para pegar cada IP ele entende ?? ou será que ele ta jogando 25 conexoes apenas para toda a rede ??

pois aqui quando rodei o controle, começou a barrar um trafego enorme... !!

Abraços
Everton

Ola amigo ... a resposta pra sua pergunta é sim... ele entende que é para cada cliente... depois que criei essas regras minha rede ficou outra.

Abracos.
Glauber Mattar

eu fiz duma maneira mais simples e menos radical:

Limito em 30 o numero de conexoes das portas tcp acima da 1000. As portas baixas deixo todas liberadas.

chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=!0-1000
tcp-flags=syn connection-limit=30,32 action=drop

No que estou tendo dificuldade é no controle de conexoes UDP, como nao tem como limitar por conexoes, quando aparece algum cliente abrindo muitas udp, simplesmente bloqueio todas acima da porta 1000.

como fica minha rede onde nós clientes uso essa faixa de ips 10.56.56.xx mascara 255.255.255.252, alguém pode me ajudar

Amigo,

Você mesmo tem a resposta, de acordo com as regras do glauber substitua a rede dele pelo 10.56.56.0/24, entao nao importa como estao divididos seus clientes, com a regra 25,32 cada ip que encaixe nesta faixa será avalido entendeu?

Flw.T+

e quanto aos meus clientes que são lanhouses, isso não deixaria os usuários travados no limite de conexões?????

Postado originalmente por angelangra

Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

/ ip firewall filter
add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

Mesmo com o Ares bloqueado ainda existe o Download Accelerator Plus eo Flashget, que utilizam todas as conexões possíveis para fazer download em cima da porta 80.