Lentidão com limite de conexão simultanea

Pessoal, fiz aquela regra de firewall que consta aqui:

Mikrotik - Under-Linux.Org Wiki

mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque? Tentei limitar em 50 e so demora mais tempo pra começar a dar problema, sites não abrem, fica carregado, carregando e nada, até da timeout! To quase deixando em 100, q é o padrão que aparece no RouterOS quando vou configurar o limite. Nao tem logica isso pq nao tem nada aberto no PC, só uma pagina apenas, ninguem usando P2P no momento e mesmoa assim nao abre, só desativar essa regra no firewall q fica uma blz!

Uso uma RB-750G com RouterOS 5.11

Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?

Atualização:

Fiz um teste com 100 conexões simultaneas e fui abaixando, em 60 aparentemente foi um valor razoavel que encontrei q ainda nao afetou a navegação. É um valor relativamente alto, mas assim até agora tá funcionando sem ninguém reclamar.

O limite de conexoes simultaneas não deve ser aplicado a TCP 80 e 443 (acesso a sites), além de UDP 53 (consulta DNS).
Reveja suas regras, aplicando o limite somente nas portas restantes.
Aqui limito em 10 conexoes por cliente, deixando estas portas que falei fora da limitação.
Funciona redondo.

Bom saber disso, não sabia. Como faço para limitar todas menos as portas 80, 443 e 53?

Atualização:

Achei essa regra, é assim mesmo. Só retirei algumas portas, alterei o limite pra 10 conexoes e mudei a faixa de IP pra faixa que uso aqui:


[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

----------------

Pergunte, ai na regra do filtro tá 25,32 ou seja, 25 conexões, mas o 32 realmente vai indicar 25 pra cada IP dessa faixa ou 25 conexoes pra toda faixa de IP?

ATUALIZAÇAO 2:

Tentei essa regra ai com 10 conexoes e lascou tudo! Navega por um tempo e depois nao abre mais nada direito! Tentei entao colocar o limite individualmente para um IP especifico e ficou a mesma coisa! O q pode ta havendo?

Atualização 3:

Eu descobri o problema, eu tava esquecendo ativar aquele Checkbox onde tem uma exclamação na opção Packet Mark do filtro. A propósito, o que faz essa exclamação ativada?

Atualização 4:

Infelizmente continua do mesmo jeito! Só meu PC que tava passando por essas regras q tava normal, meu irmão foi usar outro PC na rede e o dele nao tava abrindo direito as paginas, nao carregava imagens, etc, só foi eu desativar o filtro e pimba, carregou tudo de primeira! O q q ta de errado ai?

/ip firewall filter
add action=drop chain=forward comment="Limitando Conexoes Simultaneas TCP" \
connection-limit=5,32 disabled=no dst-address=0.0.0.0/0 dst-port=!80,443 \
protocol=tcp src-address=10.1.0.0/16 tcp-flags=syn
add action=drop chain=forward comment="Limitando Conexoes Simultaneas UDP" \
disabled=no dst-address=0.0.0.0/0 dst-port=!53 limit=1,5 protocol=udp \
src-address=10.1.0.0/16

Segue regra, onde 10.1.0.0/16 é a minha faixa local de clientes.

Qual a diferença em marcar essas portas no mangle e no filter? Pq a regra que eu postei as portas tao marcadas no Mangle e na sua regra tao no filter... Nao sei se entendi bem...

Não sei o que acontece, mas retirei todas as regras e refiz varias vezes, inclusive essa q vc passou, apenas aumentei o limite pra 25 e mesmo assim tenho problema. Fiz primeiro só pra minha faixa de IP local, Clientes cabeados, meu PC fica de boa, funciona tudo, abre as paginas perfeitamente, mas o PC do meu irmão começa a dar problema de carregamento das paginas, imagens que não carregam, etc, basta desativar a regra que volta tudo à mais perfeita ordem. Eu simplesmente to rodando meu Mikrotik sem regrana nenhuma pq assim tá todo mundo feliz só com controle de banda e nada mais.

Tá com cara de vírus isso ai... O conficker faz isso, abre n conexões com a Internet. Ou pode ser outro vírus, que usa esse computador como zumbis em ataques DDOS.
Ele esgota as conexões possíveis e ai não sobra mais nada pra navegação.
O padrão do WinXP com o SP2 são somente 10 conexões simultâneas de funciona bem.

Mais aí que ta o problema. Cliente me ligou falando que a internet estava lenta . fui observar o numero de conexoes que estava fazendo e pimba.
mais 3000 conexoes no seu ip e advinha aonde porta 80 . Virus na certa.
3000 conexoes no meu radio estava matando minha rede . Minhas regras deixam a porta 80 fora . Tenho que pensar algo tipo limitar todas as portas e deixar um numero tipo 60 ou 80 conexoes sei la.
Vou deixar para os mais experientes.

To usando outra regra colocada em outro topico, ta show de bola, só a porta 80, 443 e 53 tão de fora da regra.

A regra só limita pacotes TCP.

Não há necessidade de incluir a 53 por fora do limite, visto que resoluções de nomes DNS acontecem via UDP.

Cara Boa tarde
Desculpa ta revirando um tópico meio antigo mais me surgio a seguinte duvida,

connection-limit=5,32 nessa linha esse 32 se refere a uma mascara

no meu caso eu tenho um dhcp na seguinte forma

/ip dhcp-server network
add address=10.0.0.0/24 comment="hotspot network" dhcp-option="" dns-server=\
208.67.222.222,208.67.220.220 gateway=10.0.0.1 netmask=24 ntp-server="" \
wins-server=""
add address=10.0.1.0/24 comment="hotspot network" dhcp-option="" dns-server=\
208.67.222.222,208.67.220.220 gateway=10.0.1.1 netmask=24 ntp-server="" \
wins-server=""
add address=10.0.2.0/24 comment="hotspot network" dhcp-option="" dns-server=\
208.67.222.222,208.67.220.220 gateway=10.0.2.1 netmask=24 ntp-server="" \
wins-server=""

teria que fazer uma regra pra cada faixa de ip? Lembrado que so tenho uma placa de saida e essas 3 faixas de ip

Citação:

---

Postado originalmente por netosdr

/ip firewall filter
add action=drop chain=forward comment="Limitando Conexoes Simultaneas TCP" \
connection-limit=5,32 disabled=no dst-address=0.0.0.0/0 dst-port=!80,443 \
protocol=tcp src-address=10.1.0.0/16 tcp-flags=syn
add action=drop chain=forward comment="Limitando Conexoes Simultaneas UDP" \
disabled=no dst-address=0.0.0.0/0 dst-port=!53 limit=1,5 protocol=udp \
src-address=10.1.0.0/16

Segue regra, onde 10.1.0.0/16 é a minha faixa local de clientes.

---

/ ip firewall filter

add action=drop chain=forward comment=\
"Limite de 100 Conex\F5es portas 80 e 443" connection-limit=100,32 \
disabled=no dst-address-list=!svs_priori dst-port=80,443 protocol=tcp \
src-address-list=Clientes tcp-flags=syn
add action=drop chain=forward comment=\
"Limite de 20 Conex\F5es portas diferentes de 80 e 443" connection-limit=\
20,32 disabled=no dst-port=!80,443 protocol=tcp src-address-list=Clientes \
tcp-flags=syn

"svs_priori" contém endereços que eu não quero limitar, como face, orkut, mercado livre, dentro outros.
"Clientes" contém endereços dos meus clientes.

Como pra você é possível englobar os clientes em um /16 , pode tirar o src-address-list e por src-address=10.1.0.0/16

100 conexões por IP para porta 80 / 443
20 para outras.

Lembrando que não há necessidade de incluir a 53.

Pessoal só usar 120 conexões para porta 80 e 443, só o Youtube quando abre consome umas 40 conexões ! eu só limito para nenhum engraçadinho revender minha internet ou compartilhar para a rua toda hehe, agora para dentro de casa 120 conexões está de bom tamanho, podem colocar sem medo.

Citação:

---

Postado originalmente por silviola

/ ip firewall filter

add action=drop chain=forward comment=\
"Limite de 100 Conex\F5es portas 80 e 443" connection-limit=100,32 \
disabled=no dst-address-list=!svs_priori dst-port=80,443 protocol=tcp \
src-address-list=Clientes tcp-flags=syn
add action=drop chain=forward comment=\
"Limite de 20 Conex\F5es portas diferentes de 80 e 443" connection-limit=\
20,32 disabled=no dst-port=!80,443 protocol=tcp src-address-list=Clientes \
tcp-flags=syn

"svs_priori" contém endereços que eu não quero limitar, como face, orkut, mercado livre, dentro outros.
"Clientes" contém endereços dos meus clientes.

Como pra você é possível englobar os clientes em um /16 , pode tirar o src-address-list e por src-address=10.1.0.0/16

100 conexões por IP para porta 80 / 443
20 para outras.

Lembrando que não há necessidade de incluir a 53.

---

Olá amigo tudo bem ?
vc pode postar a regra do "svs_priori" e "Clientes"
no caso são 2 regras certo?
ou a Clientes he a interface de saida ?

/ip firewall address-list
add address=216.239.32.0/19 comment=Google disabled=no list=svs_priori
add address=64.68.80.0/21 comment=Google disabled=no list=svs_priori
add address=66.102.0.0/20 comment=Google disabled=no list=svs_priori
add address=64.233.160.0/19 comment=Google disabled=no list=svs_priori
add address=172.217.0.0/16 comment=Google disabled=no list=svs_priori
add address=108.177.0.0/17 comment=Google disabled=no list=svs_priori
add address=66.249.64.0/19 comment=Google disabled=no list=svs_priori
add address=72.14.192.0/18 comment=Google disabled=no list=svs_priori
add address=209.85.128.0/17 comment=Google disabled=no list=svs_priori
add address=198.108.100.192/28 comment=Google disabled=no list=svs_priori
add address=173.194.0.0/16 comment=Google disabled=no list=svs_priori
add address=216.33.229.144/29 comment=Google disabled=no list=svs_priori
add address=216.33.229.160/29 comment=Google disabled=no list=svs_priori
add address=209.185.108.128/25 comment=Google disabled=no list=svs_priori
add address=70.32.128.0/19 comment=Google disabled=no list=svs_priori
add address=216.109.75.80/28 comment=Google disabled=no list=svs_priori
add address=64.68.88.0/21 comment=Google disabled=no list=svs_priori
add address=64.68.64.64/26 comment=Google disabled=no list=svs_priori
add address=64.41.221.192/28 comment=Google disabled=no list=svs_priori
add address=74.125.0.0/16 comment=Google disabled=no list=svs_priori
add address=207.223.160.0/20 comment=Google disabled=no list=svs_priori
add address=108.170.192.0/18 comment=Google disabled=no list=svs_priori
add address=216.58.192.0/19 comment=Google disabled=no list=svs_priori
add address=208.65.152.0/22 comment=Google disabled=no list=svs_priori
add address=64.15.112.0/20 comment=Google disabled=no list=svs_priori
add address=208.117.224.0/19 comment=Google disabled=no list=svs_priori
add address=189.10.0.0/15 comment="Cache OI" disabled=no list=svs_priori
add address=189.72.0.0/14 comment="Cache OI" disabled=no list=svs_priori
add address=69.171.224.0/19 comment=Facebook disabled=no list=svs_priori
add address=74.119.76.0/22 comment=Facebook disabled=no list=svs_priori
add address=204.15.20.0/22 comment=Facebook disabled=no list=svs_priori
add address=66.220.144.0/20 comment=Facebook disabled=no list=svs_priori
add address=69.63.176.0/20 comment=Facebook disabled=no list=svs_priori
add address=173.252.64.0/18 comment=Facebook disabled=no list=svs_priori
add address=199.96.56.0/21 comment=Twitter disabled=no list=svs_priori
add address=199.59.148.0/22 comment=Twitter disabled=no list=svs_priori
add address=199.16.156.0/22 comment=Twitter disabled=no list=svs_priori

add address=192.168.32.2-192.168.32.254 disabled=no list=Clientes
add address=192.168.22.2-192.168.22.254 disabled=no list=Clientes
add address=192.168.12.2-192.168.12.254 disabled=no list=Clientes