Re: Acho que todos gostariam de tirar essa duvida?
roney,
Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.
Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).
Veja só como eu criei a regra:
Código :
[[email protected]] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32
action=drop
[[email protected]] >
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por nataniel
roney,
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...
abraços..até
Re: Acho que todos gostariam de tirar essa duvida?
Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!
Refiz a regra assim:
Código :
[[email protected]] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward protocol=tcp dst-port=53 action=accept
1 chain=forward protocol=tcp dst-port=80 action=accept
2 chain=forward protocol=tcp dst-port=443 action=accept
3 chain=forward protocol=tcp dst-port=1863 action=accept
4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop
[[email protected]] ip firewall filter>
Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
Re: Acho que todos gostariam de tirar essa duvida?
se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...
flws...até
Re: Acho que todos gostariam de tirar essa duvida?
Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.
Quanto às portas, eu bloqueio assim:
- de 2000 até 3027 (pra livrar o proxy = 3028)
- de 3029 até 65535 (depois do proxy, até a última porta TCP).
Lembrando que o connlimit só funciona para o protocolo TCP.
Re: Acho que todos gostariam de tirar essa duvida?
Não consigo fazer minha regra funcionar... estou com conexões estabilizadas a 4 dias com uma lista imansa, coloquei a regra que o pessoal disse em filter, mas nada... Não filtra 1 Byte se quer...
Ae está minha regra:
chain=forward src-address=10.0.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
Preciso de ajuda...
Grato
Thiago
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por nataniel
Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!
Refiz a regra assim:
Código :
[[email protected]] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward protocol=tcp dst-port=53 action=accept
1 chain=forward protocol=tcp dst-port=80 action=accept
2 chain=forward protocol=tcp dst-port=443 action=accept
3 chain=forward protocol=tcp dst-port=1863 action=accept
4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop
[[email protected]] ip firewall filter>
Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
Acho q é como o Mr_Dom falo ninguem estaria ultrapassando a quantidade de conn. no momento.
inte..............
Re: Acho que todos gostariam de tirar essa duvida?
pessoal...
tem alguem ae q ta com problemas de packet reject devido ao numero imenso de conexoes simultaneas...?
pois li alguma coisa q a cada 128mb de ram ele suporta em torno de 7500 conexoes (me corrijam se tiver errado)...depois disso ele começa a "estourar a mem" ae trava todas as conexões...vc reinicia a maquina e volta tudo ao normal...por isso a necessidade de se usar limite de conexões...mas aqui tmb naum consegui implementar nda q fungue legal...
lembrando q por exemplo se o camarada tiver usando algum prog de p2p...quando for baixar alguma coisa ele ja abre umas 20 conexao...se tiver msn tmb...quando for querer usar o browser naum vai dar...teriamos q achar uma solução pra isso..
se alguem tiver uma idéia por favor nos passe..q vai ajudar a muitos...
atéeeeee
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por roneyeduardo
Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.
Quanto às portas, eu bloqueio assim:
- de 2000 até 3027 (pra livrar o proxy = 3028)
- de 3029 até 65535 (depois do proxy, até a última porta TCP).
Lembrando que o connlimit só funciona para o protocolo TCP.
roney,
Eu não posso usar pelo seguinte, se eu limitar pela interface de entrada (nome local) eu estarei limitando tudo que é ip que entrar por essa interface, concorda?
Pensando assim então a rede que eu quero limitar 200.140.222.128/25 será perfeitamente limitada, ip por ip, MAS as redes 200.163.208.116/30 e 200.163.208.120/30 também serão limitadas pois elas entram pela mesma interface e isso não pode acontecer pois estas são redes empresárias que NÃO tem limite de conexões simultâneas (links dedicados).
PS.: Meu marcadores da rede com portas mexeram de ontem pra hoje... Eita nois!
Re: Acho que todos gostariam de tirar essa duvida?
Ah tá Nata...saquei...Bom, quanto à questão que o MR_DOM levantou, quanto ao browser, o jeito mesmo é trabalhar em cima das portas...como eu tinha explicado anteriormente...
Re: Acho que todos gostariam de tirar essa duvida?
Roney, quando vc fala em tirar o src e colocar a interface de entrada, vc está falando da interface de entrada do link ou na interface de entrada dos clientes, pois imagino que se eu por o filter na interface de entrada do link estarei limitando o numero de conecções da interface de entrada dos meus clientes que no caso seria o meu gateway para meus clientes...
aqui tenho 03 interfaces:
Public = entrada do link
Local = Entrada dos Clientes
Wireless = Entrada dos cliente
em qual desas interfaces devo colocar o filter?
na public? ou fazer um filter para a interface local e outro para a wireless?
Re: Acho que todos gostariam de tirar essa duvida?
Aqui implentamos da seguinte forma:
chain=forward src-address=192.168.57.0/24 protocol=tcp connection-limit=30,32 action=drop
Obs.: Se você tiver mais que uma faixa de ip's na saida, pode deixar sem o src-address (Nesse modelo citado, pegaria somente determinada rede .57.0)
Obs.: Se você perceber que não gera trafego de pacotes nessa regra, provavelmente é porque os clientes nao esteja passando do limite de conexões. Faça um teste reduzindo o numero de conexões para 5, e verá que realmente funciona.
Quanto ao número de conexões estabelecidas la no:
Ip > Firewall > Connections, pode-se reduzir a quantidade mostrada , clicando em Tracking, e mudando o TCP Estabilshid Time Out (para 1d). Geralmente está em 4d
Agora vem a dúvida sobre isso:
Alterando para 1 dia, o Mikrotik apenas não estará mais mostrando as demais, ou ele realmente derruba a conexão no tempo marcado? Eu imagino que derrube, mas gostaria de ter certeza.
Re: Acho que todos gostariam de tirar essa duvida?
Na interface dos clientes...Na verdade aqui eu crio uma chain chamada connlimit, e redirecino pra ela todos os acessos das portas altas (acima de 1024), com exceção de algumas portas de serviço "saudáveis", como VNC (5600,5800,5900), MSN (1863), SQUID (3128), jogos on-line e outras coisinhas que vão aparecendo...ai é nessa nova cadeia que eu faço o Connlimit, ai eu usso 8,32 (no caso, 8 Conexões simultâneas e aplicando a máscara /32 para qualquer IP que passar pela interface, sendo assim, eu dou 8 conexões simultâneas por IP / cliente). Mesmo colocando esse limit de apenas 8, eu não prejudico clientes com rede grande, pois como falei, eu excluo da limitação os serviços mais utilizados, deixando só as porcarias (AKA p2p) sendo limitadas.
Re: Acho que todos gostariam de tirar essa duvida?
Achei interessante desse jeito. Vc poderia detalhar mais para eu tentar aqui......
Outra coisa ñ existe como bloquear as conexões simultaneas em outros protocolos tipo (UDP) ????
Re: Acho que todos gostariam de tirar essa duvida?
Olha só pessoal, eu criei um mini-artigo conceitual sobre o Uso do CONNLIMIT (que é essa implementação de limitação no número de conexões simultâneas)...Ele é voltado para distrubuições linux no geral, mas como é bastante conceitual, dá pra aplicar a idéia ao Mikrotik. Então, tá ai:
https://under-linux.org/wiki/index.p...nnlimit_How_To
Re: Acho que todos gostariam de tirar essa duvida?
Olá RolneyEduardo o arquivo foi retirado do link indicado.
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por minelli
Olá RolneyEduardo o arquivo foi retirado do link indicado.
https://under-linux.org/wiki/index.p...do_o_Connlimit
alguem onseguiu fazer no mk .
coloquei as regras de cinexoes simultaneas pra cada ip da rede 40 pra cada .. sendo assim um kazaa usa todoas as poras e o coiente nao abre site .. e nem msn . presiso liveirar p2p 30 conexos simult no mk o resto deixa passa
