Tópico: Limite de Conexoes - Metodo mais flexivel.

Postado originalmente por jairlima

e quanto aos meus clientes que são lanhouses, isso não deixaria os usuários travados no limite de conexões?????

Voce pode criar uma regra de accept para cada ip que voce quer deixar sem limite. Ela deve ficar antes da regra de limite.

Esta questao de bloquear os clientes é complicado, pois precisamos atender eles da melhor forma possivel. Ninguem quer pagar por um serviço que funcione cheio de limitaçoes.

Olá pessoal!


Apliquei as regras do colega e tenho uma dúvida... No mangle ele marca as conexões, mas no meu mk ele não está marcado as conexões da porta 80 e nem da 25, então supostamente se ele não está marcando essas portas, essas portas não estão no controle correto? Uso proxy transparente na porta 3128, inclui essa porta na conexão ''sem limite'', e o mangle só começou a marcar quando mudei para '''chain'' INPUT.


Aguém poderia me dar uma mão e explicar porque não marca a conexão da porta 80 e da 25, o resto como ftp,msn,pop3,etc ele marca.



Abração.

Amigo..

veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....

Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.

Abracos.

Postado originalmente por AirKing

Amigo..

veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....

Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.

Abracos.

Obrigado por sua resposta, mas se eu voltar para foward ele não marcará a conexão da porta 3128, e também não marcará a da porta 80, vamos raciocinar que se não marcar é por que não está funcionando a regra, mas, era para marcar uma das duas correto? Ou a 3128 ou a 80.

Você aplicou essa regra no seu mk? Se sim, ele marcou no mangle os paquetes da 80 ou 3128 em forward?

Abração e obrigado por sua resposta

exato... era pra marcar sim... nao entendo pq nao esta marcando.

Postado originalmente por AirKing

exato... era pra marcar sim... nao entendo pq nao esta marcando.

Camarada, já que vc está on-line fiz uma pergunta no forum e ninguém respondeu ainda, é o seguinte... Qual a finalidade do mangle/ Só marcar, por que se eu usar o jump no firewall filter e mandar que a conexão forward seja avaliada por uma chain que eu criar ( como por exemplo Virus) se eu aplicar o jump e mandar passar toda conexão forward pelo vírus então de que me servirá o mangle?

Compreendeu a pergunta?


Abração.

Olá amigos! Desculpem retornar a este assunto, mas resolvi limitar em 25 conexoes tcp por cliente assim como foi explanado aqui.

O interessante é que fui na aba connections em IP -> Firewall do winbox e lá mostra-me um total de 1600 conexões, sendo que a maioria é de pacotes udp.

Como foi dito por um colega, normalmente o serviço ADSL tem um limite de conexões. Fico na dúvida de como limitar também conexões UDP, pois não parece ser da mesma forma que TCP, pois não tenho a opção limit habilitada para o protocolo UDP.

Aliás! Alguém saberia dizer qual o número de conexões simultâneas permitidas por um serviço ADSL?

Obrigado

Seguinte pessoal, vai uma sugesta!


Fiz aqui assim, marquei todas as conexões simultâneas que passem de 25, submeti essas conexões a identificação de que sejam ou não do tipo p2p, se forem, eu dropo!

Voltando ao assunto, acredito que esta minha regra de limitação de conexões não funcione no meu mikrotip em modo bridge. Explicando, meu mikrotip com tres placas pci athereos em modo ap bridge, estão configuradas em bridge1 e o link é enviado do meu escritório pelo meu servidor, onde daí tenho controle de banda e squid. Reitero, a limitação de conexões funcionaria lá no meu mikrotip em bridge? Porque não parece estar funcionando, pois listo as conexões e tem clientes com muito mais que 25 ou 30 conexões simultâneas de tcp.

Fui tentar fazer o limite de conexões também no meu servidor debian gnu/linux com kernel 2.6.18, mas pelo que li, depois de muito tentar, é que esta versão do kernel não tem suporte a connlimit do iptables.

Grato por enquanto, qualquer coisa atualizo o meu kernel.

Abraços