Limitar Conexões Simultâneas
Pessoal,ja tentei de todas as maneiras que encontrei na net,mas nao consegui fazer com que cada cliente tenha no maximo 200 cps(conexoes por segundo).
eu adiciono a regra mas o mikrotik nao dropa.
minha config é essa:
1 chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=192.168.10.0/24 connection-limit=200,32
ja coloquei assim:
1 chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=192.168.10.0/24 connection-limit=200,24
e assim:
1 chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=192.168.10.0 connection-limit=200,24
Ja coloquei tbm pra ele limitar somente para um ip especifico e nada adianta.
ja fiz um drop do p2p e realmente ele dropou todo trafego p2p,porem nao limita de jeito nenhum as conexoes tcp simultaneas de cada cliente.
Versao do mk 3.20 level 6....
re: Limitar Conexões Simultâneas
Veja se ajuda ai,
Controle de conexões simultâneas (Mikrotik)
ou
em Firewall -> New Firewall Rule -> Chain = Forward em Src Andress o Ip do cliente, Protocol TCP, Aplicar
em Advanced -> TCP Flags > Syn -> Aplicar
em Extra COnection Limit coloquei o numedo de conexoes a limitar e em mask 32 default
re: Limitar Conexões Simultâneas
Amigo aqui nao funciona de jeito nenhum.....
Sempre vou la no testesuavelocidade.com.brno medidor completo da + de 1000 conexoes,sendo que se eu coloco um no lugar do mk e limito as conexoes em 300,o AP limita as conexoes mas o mk nao limita.....
re: Limitar Conexões Simultâneas
tente esse amigo, aqui funcionou.
/ip firewall filter
: for i from=2 to=254 do={ add chain=forward src-address=("192.168.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}
obs. onde está de vermelho será sua faixa de ip que quer limitar, só mais um conselho: após adicionar esse script pelo new terminal verá que seu processador aumentará a carga, por isso tem que ter uma máquina mais potente.
re: Limitar Conexões Simultâneas
Amigo,to axando que a versao 3.x do mk ja faz esse controle automaticamente conforme a velocidade cetada pro cliente,por exemplo: no perfil default eu fasso o teste da 1656kbps de down de 252 de up e 1367 conexoes.
ai eu vo la mudo meu plano para 500k me desconecto e faço o login.
volto la no teste,seleciono as mesmas opçoes selecionadas anteriormente no medidor,faço o teste e da 468kbps de down 88kbps de up e 240 conexoes.......
Esses teste foram feitos com a regra do connection limit DESABILITADA.
Habilitei a regra e refiz os testes e nao mudou nada os testes deram os mesmos resultados anteriormente.......
Sera que essa versao ja faz o controle conforme a velocidade controlada???
re: Limitar Conexões Simultâneas
e se puder me mande as regras pra controlar o upload e download do P2P....as regras do wiki nao funcionaram para o ares,e eu nao testei com outro software P2P...obrigado
re: Limitar Conexões Simultâneas
para o ares conseguir apenas bloquear o mesmo, chain=forward, protocol=17 (udp), dest. port=0, action=drop,
para bloquear o limeware: chain=forward, protocol=17 (udp), dest. port= 1025-65535 e action=drop, nesse último bloqueio vários jogos param de funcionar.
re: Limitar Conexões Simultâneas
Amigo vc tem que olha se a regra esta passando pelo mikrotik e se esta dropando se tiver pode confiar, este teste ai não sei se da para confiar 100% no site.
re: Limitar Conexões Simultâneas
Colega, preste atenção na regra abaixo:
chain=forward action=drop tcp-flags=syn protocol=tcp src-address=192.168.XX.0/24 connection-limit=50,32
Estou informando ao firewall que desejo limitar em 50 o número de conexões simultâneas por IP. Altere para o número de conexões desejado e pronto. Essa é a regra correta. Esqueça esse teste.
Se desejar verificar a eficácia, fique de olho no descarte de pacotes que vai aparecer ao lado da regra. Essa é a prova de que ela funciona e está excluindo tudo que ultrapassa o valor que vc determinou.
re: Limitar Conexões Simultâneas
Amigo, essa regra limita as conexões de cada ip da rede /24 ou seja, os 254 ips em uso incluindo o ip do servidor (Gateway da rede) ou excluindo o ip do servidor? Ou essa regra limita a 50 o numero de conexoes simultaneas de toda a rede /24?
re: Limitar Conexões Simultâneas
Citação:
Postado originalmente por
Rador
Amigo, essa regra limita as conexões de cada ip da rede /24 ou seja, os 254 ips em uso incluindo o ip do servidor (Gateway da rede) ou excluindo o ip do servidor? Ou essa regra limita a 50 o numero de conexoes simultaneas de toda a rede /24?
Aproveitando a pergunta do colega, e se eu usar um range de ips tipo 10.0.0.1-10.0.255.253 Mask 16?
Ficaria assim? chain=forward action=drop tcp-flags=syn protocol=tcp src-address=10.0.0.0/16 connection-limit=50,32
re: Limitar Conexões Simultâneas
Pessoal, fiz aquela regra de firewall que consta aqui:
Mikrotik - Under-Linux.Org Wiki
mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque?
Uso uma RB-750G com RouterOS 5.11
EDITADO:
Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?
Re: Limitar Conexões Simultâneas
boa noite venho por meio do fórum pedir ajuda dos senhores pois tenho um provedor uso hotspot não consigo bloqueio de p2p e nem de site já tentei de todo jeito não consigo meu hotspot esta normal mais não consigo fazer isso se possível algum amigo pude ajuda agradeço!
Re: Limitar Conexões Simultâneas
Citação:
Postado originalmente por
jeorge
boa noite venho por meio do fórum pedir ajuda dos senhores pois tenho um provedor uso hotspot não consigo bloqueio de p2p e nem de site já tentei de todo jeito não consigo meu hotspot esta normal mais não consigo fazer isso se possível algum amigo pude ajuda agradeço!
hj a maioria dos P2P utilizam as portas udp ,mikrotik no controle de banda do usuario "NAO CONTROLA UDP" (não so mikrotik mas quase todos os sistemas tcp based).
A saida pra não ter problemas com consumo excessivo de banda é fazer um shapping.
Citação:
/ip/firewall/mangle
add action=mark-connection chain=prerouting comment="===== P2P" disabled=no dst-port=!53 new-connection-mark=\
UDP-P2P passthrough=yes protocol=udp src-port=!53
add action=mark-packet chain=prerouting comment="" connection-mark=UDP-P2P disabled=no new-packet-mark=UDP-P2P \
passthrough=no
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=512k name=UDP-P2P \
packet-mark="UDP-P2P" parent=global-out priority=8 queue=default
pode se usar outras portas para que nao se passe pela regra.
Citação:
src-port=!53,123,1024-5000
^ ^ ^
| | |______ Range
| |_____________ Porta
|________________ Porta
postado em outro forum pelo INT21
Re: Limitar Conexões Simultâneas
Essa regra limita a 50 conexões cada IP da rede, se ela limitasse a rede inteira a 50 conexões ninguém conseguiria navegar.
Re: Limitar Conexões Simultâneas
Não costumo responder a posts pq normalmente alguém mais capacitado que eu acaba respondendo antes de mim, e para não ficar chovendo no molhado prefiro abster-me, mas como não se chegou a uma definição sobre as questões levantadas lá vai.
Para resolver o problema de conexões simultâneas e P2P definitivamente:
/ip firewall filter
add action=accept chain=forward comment="Porta do DNS fora do bloqueio de UDP" disabled=no dst-port=53 protocol=udp
add action=accept chain=forward comment="Porta do NTP fora do bloqueio de UDP" disabled=no dst-port=123 protocol=udp
add action=accept chain=forward comment="Porta do TEAMSPEAK1-2 fora do bloqueio de UDP" disabled=no dst-port=8767 protocol=udp
add action=accept chain=forward comment="Porta do TEAMSPEAK3 fora do bloqueio de UDP" disabled=no dst-port=7969 protocol=udp
add action=drop chain=forward comment="Bloqueio de UDP" disabled=no out-interface="mudar para o nome da sua interface externa" protocol=udp src-address-list="!IPs com UDP liberado"
add action=accept chain=forward comment="Porta do HTTP fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=80 protocol=tcp
add action=accept chain=forward comment="Porta do HTTPS fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=443 protocol=tcp
add action=add-src-to-address-list address-list="50 Conexoes simultaneas" \ address-list-timeout=1m chain=forward comment=\ "50 Conexoes simultaneas de TCP" connection-limit=50,32 disabled=no \ protocol=tcp src-address-list="!Fora das 50 conexoes simultaneas" \ tcp-flags=syn
add action=drop chain=forward connection-limit=50,32 disabled=no protocol=tcp src-address-list="50 Conexoes simultaneas" tcp-flags=syn
Percebam que bloqueei o UDP e fui abrindo as portas necessárias, o P2P normalmente utiliza o UDP pq através desse protocolo ele fica mais solto, com menos controles, mas ao perceber que não tem saída UDP ele utiliza o TCP e ai vc consegue controla-lo, que é exatamente minha intenção, aqui não bloqueio o P2P, mas mantenho ele sobre controle.
Caso queira liberar totalmente o UDP para algum IP é só adiciona-lo na lista "IPs com UDP liberado".
As regras de controle de conexões simultâneas são duas, a primeira analisa se existe algum IP com mais que 50 conexões e inclui ele em uma lista, a segunda regra controla as conexões desses ips que foram postos nessa lista, a cada 1 minuto a lista é verificada e se esses ips não voltarem a exceder o limite de conexões são retirados da lista.
Dessa forma evita-se fazer uma regra para cada ip da rede pq isso eleva muito o processamento do MK, caso queira liberar algum IP das conexões simultâneas é só adiciona-lo na lista "Fora das 50 conexoes simultaneas".
As portas de HTTP e HTTPS estão fora desse limite de conexões pq se deixa-las sendo controladas tb, a navegação tende a ficar lenta ou até mesmo parar quando a regra entrar em ação.
Tá ai minha contribuição, espero ter ajudado.
Re: Limitar Conexões Simultâneas
Alguém que entende do assunto, pode me auxiliar...
estou implantando uma forma que seja capturado com o filter o ip do usuario que exceder por exemplo 100 conexoes e mandando criar uma address-list, ate ai tranquilo, ta listando certo e tudo mais.
porem quando eu adiciono a regra de drop para dropar os ips que estao na address list, ele nao está fazendo isto de forma individual e sim deixando todos os ips com o numero de conexao setado no nat.
aqui esta o export:
----------------------------------------------------------------------------------------------------------------------------
/ip firewall filter
add action=add-src-to-address-list address-list=excedeu_conexoes_simultaneas address-list-timeout=0s chain=forward comment=\
"======== adiciona no address_list ips que excederem o numero de 100 conexoes simultaneas ========" connection-limit=100,32 \
disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=forward comment="======== limita os ips da address_list a 100 coonexoes simultaneas ========" connection-limit=\
100,32 disabled=no protocol=tcp src-address-list=excedeu_conexoes_simultaneas tcp-flags=syn
----------------------------------------------------------------------------------------------------------------------------
Re: Limitar Conexões Simultâneas
Citação:
Postado originalmente por
raumaster
Pessoal, fiz aquela regra de firewall que consta aqui:
Mikrotik - Under-Linux.Org Wiki
mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque?
Uso uma RB-750G com RouterOS 5.11
EDITADO:
Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?
Se vc limitar a 30 conexões, só de abrir a página do orkut, já vai estar quase que com as 30 conexões. Aumenta para pelo menos 120 com máscara 32 e veja a diferença.
Re: Limitar Conexões Simultâneas
amigo a regra é esta abaixo, manda somente o ip que eceder para a address list por 1 minuto.
/ip firewall filter
add action=add-src-to-address-list address-list="70 Conexoes simultaneas" \
address-list-timeout=1m chain=forward comment=\
"70 Conexoes simultaneas de TCP" connection-limit=70,32 disabled=no \
protocol=tcp src-address-list="!Fora das 70 conexoes simultaneas" \
tcp-flags=syn
add action=drop chain=forward connection-limit=70,32 disabled=no protocol=tcp \
src-address-list="70 Conexoes simultaneas" tcp-flags=syn
Re: Limitar Conexões Simultâneas
beleza, Carlos...
01 duvida: o que me ocorre é se for listado varios ips para a address list, cada ip listado la terá 70 conexoes individual ou ira partilhar estas 70 conexoes para todos os ips que listarem?
02 duvida: a regra de DROP, ela ira avaliar os ips que tao tachados na address list e ira descartar apenas o que exceder o numero de 70 conexoes do usuario, porem ele nao ficara sem navegar, apenas ira dar uma segurada.... isso?
03: duvida: o que é considerado anormal em numero de conexoes, por exemplo, usuario com um unico pc consome geralmente quanto? quero deixar uma boa sobra, porem tambem se o cara for sorterado com um virus, que nao fique sujando a rede minha.
