De Under-Linux.Org Wiki

Aê pessoal, muito se tem discutido aqui no fórum do Underlinux sobre esse tipo de implementação, suas implicações e uso, etc...Tanto aqui na seção Proxy/NAT/Firewal, quanto nas seções Wireless/Mikrotik há ainda muitas dúvidas quanto sua aplicabilidade. Bom, resolvi então escrever meu relato de como estou usando o connlimit aqui, tanto no aspecto de como tenho implementado, como tenho feito para solucionar problemas e também sobre como não gerar problemas com seu uso.

O Objetivo principal deste artigo é sobre a limitação de softwares p2p. Analisando o tráfego desse tipo de software, eu percebi que tinha que atacar diretamente o fato deles abrirem muitas conexões simultâneas. Então corri atrás de recompilar meu kernel e o meu iptables com o pom (patch-o-matic) e adicionar o módulo CONNLIMIT.

Aqui eu uso um servidor CentOS como gateway de acesso, controle de banda e firewall.

A implementação, basicamente no firewall (vou postar aqui somente o que se refere ao connlimit), foi essa:

1) Crio uma cadeia chamada CONNLIMIT:

iptables -N CONNLIMIT

2) Redireciono todos os acessos (portas) que gostaria de limitar para a cadeia CONNLIMIT (no caso, as portas acima de 1024, basicamente, visto que esses softwares tarado usam portas altas, porém, tomando cuidado de deixar fora do controle as portas de serviços conhecidos, como MSN e afins, jogos on-line, vnc, proxy, etc...vou dar alguns exemplos):

iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT (excluindo o MSN = 1863)

iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT (excluindo a porta do proxy = 3128)

iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT (excluindo a porta do VNC = 5600)

iptables -A FORWARD -p TCP -d 0/0 --dport 5601:5899 -j CONNLIMIT (excluindo outra porta do VNC = 5900)

iptables -A FORWARD -p TCP -d 0/0 --dport 5901:7776 -j CONNLIMIT (excluindo o jogo on-line Lineage = 7777)

e assim por diante, eu faço "ranges" de IP que excluam as portas de serviços "saudáveis". Ah, e eu também uso o "-p TCP" ou seja, trabalhando apenas com o protocolo TCP, pois o CONNLIMIT só funciona com TCP. Existia um tempo atrás um módulo UDPLIMIT, mas ele é antigo, não sei se dá pra aplicar ele no kernel e no iptables mais recentes...

3) Agora como todo esse acesso tá passando pela cadeia CONNLIMIT, eu aplico nela a limitação:

iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

Aqui é que tá o segredo do negócio...hehehe...seguinte:

obs1: "-m state ! --state RELATED" = usando isso, eu não incluo no DROP os pacotes que forem de retorno, ou seja, se você acessa um site (na porta 80), quando ele mandar uma resposta pra você, ele vai responder nas portas altas (acima de 1024), então, como essa conexão é uma conexão de retorno, excluindo o RELATED não aplica o connlimit, evitando problemas na navegação (principalmente de clientes com rede cheia de computador e com muita requisição - frisando que pra mim, esse cliente é um único IP, porém seus computadores estão todos por trás de NAT.

obs2: "--connlimit-above 12" = diz que o máximo é 12 conexões simultâneas.

obs3: "--connlimit-mask 32" = diz que ele vai tratar todos os IPs que passarem pela regra serão tratados isoladamente (ou seja, com a máscara /32, ou, 255.255.255.255), o que significa que serão 12 conexões simultâneas por IP -> 12 por cliente.

Bom é isso. Mesmo quem insista que os software p2p usem também portas UDP, e o connlimit não limita UDP, o tráfego UDP é sempre muito menor que o tráfego TCP, da ordem de 1/4 + ou - , ou seja, limitando o número de conexões simultâneas TCP, o número de conexões UDP ficam limitadas aqui.

Vou mostrar também agora alguns dados.

Usando o aplicativo IPTSTATE, eu posso listar todas as conexões ativas por IP, todas as conexões ativas no geral (de todos os clientes), etc..então, com ele, eu posso analisar aqui as conexões simultâneas. Então ai vão alguns dados (obs1: eu sempre vou analisar somente as conexões ESTABLISHED - estabelecidas - as demais - CLOSED, TIME WAIT, etc. - eu vou deixar de fora, já que não interessam):

1) Quantidade conexões simultâneas (num cliente que tá com p2p ligado agora):

 # iptstate -s | grep 10.0.0.6 | grep ESTAB

10.0.0.6,1040 207.46.110.87,1863 tcp ESTABLISHED (porta excluida) - msn

10.0.0.6,4172 201.72.219.110,4662 tcp ESTABLISHED (1) - emule

10.0.0.6,4173 200.233.133.1,4662 tcp ESTABLISHED (2) - emule

10.0.0.6,4183 201.69.97.126,4662 tcp ESTABLISHED (3) - emule

10.0.0.6,1046 207.46.111.69,1863 tcp ESTABLISHED (porta excluida) - msn

10.0.0.6,3626 201.50.84.53,4662 tcp ESTABLISHED (4) - emule

10.0.0.6,3948 201.215.155.80,4662 tcp ESTABLISHED (5) - emule

10.0.0.6,4170 62.10.87.177,5806 tcp ESTABLISHED (6) - emule

10.0.0.6,2337 207.46.27.79,1863 tcp ESTABLISHED (porta excluida) - msn

10.0.0.6,3387 81.169.143.167,7777 tcp ESTABLISHED (7) - emule

10.0.0.6,4291 82.158.203.9,28043 tcp ESTABLISHED (Cool - não sei o que é

10.0.0.6,3387 81.169.143.167,7777 tcp ESTABLISHED (porta excluida) - jogo on-line

10.0.0.6,4266 201.20.241.170,22493 tcp ESTABLISHED (9) - nao sei o que é

10.0.0.6,4340 201.221.26.22,82 tcp ESTABLISHED (porta excluida)

Então, são 16 conexões simultâneas, porém apenas 9 entram no bloqueio/limite...ainda tem espaço pra mais 3 de p2p por exemplo...as portas excluidas são aquelas que não passam pelo CONNLIMIT.

2) Quantidade de conexões simultâneas no geral com 176 clientes:

 # iptstate -s | grep ESTAB | wc -l = 2610

então: Qtde. de clientes * 12 = 176 * 12 = 2112

Qtde. de conex. na porta 80 (navegação):

 # iptstate -s | grep ESTAB | grep ",80 " = 934

Qtde. de conex. na porta 1863 (MSN):

 # iptstate -s | grep ESTAB | grep ",1863 " = 605

Qtde. de conex. na porta 443 (páginas com SSL)

 # iptstate -s | grep ESTAB | grep ",443 " = 176

Bom, a maioria dos acessos, como dá pra ver, são de portas saudáveis...o resto eu ainda nem contabilizei, e ainda tô fazendo isso num horário de folga, sem muito uso!

Bom, a intenção desse mini-artigo é dar uma idéia de como é implementar o connlimit (visto que há muita discussão por aqui sobre isso) e também de mostrar como fazer pra analisar essa questão das conexões simultâneas e como fazer pra atacar essa situação, deixando sua rede mais saudável, porém, sem prejudicar alguns serviços essenciais.

T+ galera, qualquer coisa tô na área. Por favor, façam seus testes e postem os resultado, lembrando que o espaço aqui é justamente pra somarmos conhecimentos, portanto, peço a colaboração dos demais usuários do Underlinux!

Grande abraço a todos!

Autoria: Rôney Eduardo O. Santos