Caros Colegas problema de lentidão tenho um solução

Eu tbm estava com problema de lentidão principalmente das 10:00 as 23:00 e comecei a estudar a minha rede e nada de errado tudo normal.

Então comecei a da um olhada aqui no forum e vi que o problema podia ser a questão de
excesso de conexão então limite as coneções da minha rede para 35 por usuario so que esta beleza mais em alguns cliente as vezes fica lento a navegação então fique locou de pessa o que pode ser então descobri que isto so acontecia onde tinha ap com cliente no modo router então a maioria deste cliente tem mais de um máquina e então ficava 35 conexão pra duas máquina então esta regra:
/firewall filter add chain=forward src-address=10.0.0.0/16 protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "

não dava pra
ser usada então dando um pesquisa no forum internacional do mikrotik vi um script que gera um laço de criar varias regra em massa exemplo vc quer criar um regra no firewall para da cliente vc usa assim o
/firewall filter : for i from=1 to=255 do={ Regra + ips . $i) }
neste caso aqui ele gera a regra para o ip por exemplo do 192.168.1.1 a 192.168.1.254


voltando ao assunto conexão então gera um script e que adicionou um regra para cada cliente por default coloquei 35 conexões e neste cliente que tinha radio com router eu coloquei 80 conexões acabou o problema aqui.

este santo remédio foi bom pra o meu caso que era problema de execesso de conexão
se o de alguem for mo mesmo então ta aqui o remedio

/firewall filter : for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

a mudañçao que deve ser feita e a seguinte so colocar a faixa de ips que vc usam ai no seu clientes ("10.0.0." . $i) , ("192.168.1." . $i)

Caro pro2, será que posso fazer a mesma coisa para gerar regras para controle de banda?

deve funcionar sim par ao controle de banda...

interessante a dica :)

Citação:

---

Postado originalmente por Portela

Caro pro2, será que posso fazer a mesma coisa para gerar regras para controle de banda?

---

sim pode so vc seguir os mesmo passo do exemplo acima e colocar a regra de controle e so colocar isto onde vor o ips da sua regra ("192.168.1." . $i)


qualquer duvida me passa a sua regra que faço pra vc o script?

legal vou testar.

pro2,

aqui uso queues com:

targent-address: 192.168.0.2 - 192.168.0.255
limit at: 32k
max limit: 75k
burst limit: 512k
burst threshold: 64k
time: 80
interface: ether2
queue type: ethernet-default
parent: none
priority: 8

Esses dados peguei na tela do winbox pois não conseguir acerta os comandos para ver pelo terminal

Olá...

Mto legal sua explanação... So queria uma dica sobre o script... Ele é gerado no proprio MK? Não consegui faze-lo!

Tem como me ajudar?!

Obrigado!

Dentro do winbox > New Terminal digite:
ip firewall filter ( enter )
copia a regra e dê enter ....... pronto. Agora olhe lá na interface grafica...

show de bola

[turbo@São Cristovão] ip firewall filter> for i from=2 to=254 do={ add chain=for
ward src-address=(10.0.0.0 . $i) protocol=tcp tcp-flags=syn connection-limit=30,
32 action=drop }
no such command or directory (for)

Isso que vc pediu para ser feito, acho que so vale pra gerar a regra... Mas e o laço? (FOR) Não sei onde está o erro...

é so colocar ":" antes do for

fiz aqui mas n vejo a contagem de pacotes se mecher
o q deu errado?

Citação:

---

Postado originalmente por j.matoss

[turbo@São Cristovão] ip firewall filter> for i from=2 to=254 do={ add chain=for
ward src-address=(10.0.0.0 . $i) protocol=tcp tcp-flags=syn connection-limit=30,
32 action=drop }
no such command or directory (for)

Isso que vc pediu para ser feito, acho que so vale pra gerar a regra... Mas e o laço? (FOR) Não sei onde está o erro...

---

=(10.0.0.0 . $i) isto aki esta errado e assim o =("10.0.0" . $i)


então pra a sua rede fica assim
o



/firewall filter : for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

alguem sabe se tem como criar uma queue assim
: for i from=2 to=254 do={ add name=("10.0.3." . $i) target=addresses=("10.0.3." . $i) limit-at=2000/1500 max-limit=2000/1500 serah que seria assim o script?
qdo dou o comando ele da o seguinte erro
no such argument (=)
alguem conseguiu?

Amigos... Quero saber o seguinte... Uso a Máscara 252... Isso quer dizer que meus ips andam de 4 em 4 IP`s..
Por acaso é só eu fazer:

ip firewall filter> for i from=2 to=254 do={ add chain=for
ward src-address=(10.0.0.0 . $i+4) protocol=tcp tcp-flags=syn connection-limit=30,
32 action=drop }

??

Ou não??
Começando pelo IP 2 é claro?!?!?

ok certinho show de bola arrumei o erro tinha dado pau no : na frente do for

Citação:

---

Postado originalmente por pro2

...não dava pra
ser usada então dando um pesquisa no forum internacional do mikrotik vi um script que gera um laço de criar varias regra em massa exemplo vc quer criar um regra no firewall para da cliente vc usa assim o
/firewall filter : for i from=1 to=255 do={ Regra + ips . $i) }
neste caso aqui ele gera a regra para o ip por exemplo do 192.168.1.1 a 192.168.1.254


voltando ao assunto conexão então gera um script e que adicionou um regra para cada cliente por default coloquei 35 conexões e neste cliente que tinha radio com router eu coloquei 80 conexões acabou o problema aqui.

este santo remédio foi bom pra o meu caso que era problema de execesso de conexão
se o de alguem for mo mesmo então ta aqui o remedio

/firewall filter : for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

a mudañçao que deve ser feita e a seguinte so colocar a faixa de ips que vc usam ai no seu clientes ("10.0.0." . $i) , ("192.168.1." . $i)

---

Excelente dica amigo!
Parabéns!
Valeu mesmo, principalmente pq pode-se adaptar para qualquer regra!

abraço!

alguem pode me dar uma mao para criar um script para controle de banda?

douglassantos,
como vc quer a regra? up, down, vai usar burst, etc!?

Olá,

tentei atraves do terminal navegar pelos comando até mostrar as regras de queues mas não encontrei, alguém poderia me mostrar como ver isso pelo terminal ou dar um exemplo de um script para criar regras de queues automaticamente para uma faixa de ip's entre 192.168.0.2 até 192.168.0.255, com as seguintes configurações:


targent-address: 192.168.0.2 - 192.168.0.255
limit at: 32k
max limit: 75k
burst limit: 512k
burst threshold: 64k
time: 80
interface: ether2
queue type: ethernet-default
parent: none
priority: 8

Esses dados peguei na tela do winbox pois não conseguir acerta os comandos para ver pelo terminal

:? :? :? galera talvez esse seja o problema q esteja detonando a minha rede, tenho um link de 2 mb q esta no gargalo e esse topico veio me chamar atenção sobre o numero de conexão por cliente cheguei a contar aki cliente com 80 conexão TCP em minha rede , isso pode esta gerando uma lentidão na minha rede ??? qual seria o numero ideal de conexão por cliente ? minha faixa de ip aki é 192.168.254.0 como esse script iria se adaptar com essa faixa de ip já q tentei de tudo e não consegui fazer ele rodar :? :? me ajudem

uma faixa para um usuario normal seria 20 a 25 conexoes..

Só uma pergunta: essa regra de limitar o nº de conexões por cliente funciona quando o Mikrotik é um AP e está no modo bridge???

Citação:

---

Postado originalmente por pro2

Eu tbm estava com problema de lentidão principalmente das 10:00 as 23:00 e comecei a estudar a minha rede e nada de errado tudo normal.

Então comecei a da um olhada aqui no forum e vi que o problema podia ser a questão de
excesso de conexão então limite as coneções da minha rede para 35 por usuario so que esta beleza mais em alguns cliente as vezes fica lento a navegação então fique locou de pessa o que pode ser então descobri que isto so acontecia onde tinha ap com cliente no modo router então a maioria deste cliente tem mais de um máquina e então ficava 35 conexão pra duas máquina então esta regra:
/firewall filter add chain=forward src-address=10.0.0.0/16 protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "

não dava pra
ser usada então dando um pesquisa no forum internacional do mikrotik vi um script que gera um laço de criar varias regra em massa exemplo vc quer criar um regra no firewall para da cliente vc usa assim o
/firewall filter : for i from=1 to=255 do={ Regra + ips . $i) }
neste caso aqui ele gera a regra para o ip por exemplo do 192.168.1.1 a 192.168.1.254


voltando ao assunto conexão então gera um script e que adicionou um regra para cada cliente por default coloquei 35 conexões e neste cliente que tinha radio com router eu coloquei 80 conexões acabou o problema aqui.

este santo remédio foi bom pra o meu caso que era problema de execesso de conexão
se o de alguem for mo mesmo então ta aqui o remedio

/firewall filter : for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

a mudañçao que deve ser feita e a seguinte so colocar a faixa de ips que vc usam ai no seu clientes ("10.0.0." . $i) , ("192.168.1." . $i)

---

Citação:

---

Postado originalmente por _AGM_

Só uma pergunta: essa regra de limitar o nº de conexões por cliente funciona quando o Mikrotik é um AP e está no modo bridge???

Citação:

---

Postado originalmente por pro2

Eu tbm estava com problema de lentidão principalmente das 10:00 as 23:00 e comecei a estudar a minha rede e nada de errado tudo normal.

Então comecei a da um olhada aqui no forum e vi que o problema podia ser a questão de
excesso de conexão então limite as coneções da minha rede para 35 por usuario so que esta beleza mais em alguns cliente as vezes fica lento a navegação então fique locou de pessa o que pode ser então descobri que isto so acontecia onde tinha ap com cliente no modo router então a maioria deste cliente tem mais de um máquina e então ficava 35 conexão pra duas máquina então esta regra:
/firewall filter add chain=forward src-address=10.0.0.0/16 protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "

não dava pra
ser usada então dando um pesquisa no forum internacional do mikrotik vi um script que gera um laço de criar varias regra em massa exemplo vc quer criar um regra no firewall para da cliente vc usa assim o
/firewall filter : for i from=1 to=255 do={ Regra + ips . $i) }
neste caso aqui ele gera a regra para o ip por exemplo do 192.168.1.1 a 192.168.1.254


voltando ao assunto conexão então gera um script e que adicionou um regra para cada cliente por default coloquei 35 conexões e neste cliente que tinha radio com router eu coloquei 80 conexões acabou o problema aqui.

este santo remédio foi bom pra o meu caso que era problema de execesso de conexão
se o de alguem for mo mesmo então ta aqui o remedio

/firewall filter : for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

a mudañçao que deve ser feita e a seguinte so colocar a faixa de ips que vc usam ai no seu clientes ("10.0.0." . $i) , ("192.168.1." . $i)

---

---

_AGM_
Concerteza funciona.
Pq a bridge do mt trabalha na camada 3 do modelo OSI, aonde podemos fazer regras de filtragem, a bridge executa as regras que passam por dentro dela, no caso /ip firewall filter forward, outro lugar que voce pode fazer as regras diretamente nas filtragem da bridge /interface bridge filter.

Espero ter ajudado _AGM_

Abracos

ninguem arriscou a fazer as regras para queue nao?

O que acontecera quando ele atingir as 30 conexões ????


no meu caso melhorou a rede gente .... mas tem clientes que para de navegar ... seria algo da regra ????

Para o controle de banda eu uso o CBQ, se alguem tive algum interesse eu disponibilizei no meu site os scripts e exemplo...

http://www.tftecnologia.com.br/cbq.zip

Valews

ola esto aderindo para o mikrotik ele so altentica no freeradius com mysql gostaria de saber como e queis informações colocar mo mysql se posivel alguem me envia uma tabela de usuario pronta para mim. grato

apos aplicar a regra 30 conexoes simult o cliente nao navega mais nem entra no msn .. eu to vendo no forum aqui . como agente soluciona isso .. porque senao resolvemos uma questao e geramos outra .. agente presisa aplicar 30 conec simul so pra p2p porque do resto deixar liberado ...da uma forca ai galera

Pessoal, alguém pode me informar como fazer para ver pelo terminal do mk uma regra especifica de queue de um determinado ip, estou tentando adaptador esse comando de criação de regras automatizado para criar regras queues para uma faixa inteira de ip's.

Obrigado

o legal Portela tb estou atraz disso tb...

Valew

Citação:

---

Postado originalmente por fernandolv

apos aplicar a regra 30 conexoes simult o cliente nao navega mais nem entra no msn .. eu to vendo no forum aqui . como agente soluciona isso .. porque senao resolvemos uma questao e geramos outra .. agente presisa aplicar 30 conec simul so pra p2p porque do resto deixar liberado ...da uma forca ai galera

---

errado, nao que o cara para de navegar, a regra 'e aplicada em flags SYN (inicio de conexao), na verdade a regra se aplica nao nas conexoes estabelecidas e sim em uma nova conexao querendo ser estabelecida, o bloqueio acontece quando tem muita gente navegando por traz de um GW por exemplo vc da internet para uma empresa que esse net chega em um servidor e por traz desse servidor tem mais 20 maquinas por exemplo, imaginamos que essas maquinas todas vao entrar na net ao mesmo, quando elas abrem o browser por exemplo ela faz um requisicao SYN e estabelece ate a pagina terminar de abrir, mas quando ela termina de abrir automaticamente ela ja libera a conexao e n fica como estabelecido.
Mas no caso do cara estiver usando P2P, o q P2p faz, fica tentando abrir um monte de conexoes ao mesmo tempo 'e ai que o bloqueio entra em acao.
Mas caso ninguem tiver p2p na rede interna deles, 20 conexoes simultanoes para navegacao e msn 'e o suficiente para 20 maquinas tranquilo, mas vamos pensar que mesmo assim que o pessoal navega muita e fica o tempo inteira fazendo novas conexoes, e chega no limite de 20 conexoes, nao que ele vai parar de navegar e sim os proximos pacotes a serem enviados serao barrados, apenas isso, nao que ele para de navegar por completo.
espero ter esclarecido a quesao.

Abracos.

Citação:

---

Postado originalmente por pro2

Eu tbm estava com problema de lentidão principalmente das 10:00 as 23:00 e comecei a estudar a minha rede e nada de errado tudo normal.

Então comecei a da um olhada aqui no forum e vi que o problema podia ser a questão de
excesso de conexão então limite as coneções da minha rede para 35 por usuario so que esta beleza mais em alguns cliente as vezes fica lento a navegação então fique locou de pessa o que pode ser então descobri que isto so acontecia onde tinha ap com cliente no modo router então a maioria deste cliente tem mais de um máquina e então ficava 35 conexão pra duas máquina então esta regra:
/firewall filter add chain=forward src-address=10.0.0.0/16 protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "

não dava pra
ser usada então dando um pesquisa no forum internacional do mikrotik vi um script que gera um laço de criar varias regra em massa exemplo vc quer criar um regra no firewall para da cliente vc usa assim o
/firewall filter : for i from=1 to=255 do={ Regra + ips . $i) }
neste caso aqui ele gera a regra para o ip por exemplo do 192.168.1.1 a 192.168.1.254


voltando ao assunto conexão então gera um script e que adicionou um regra para cada cliente por default coloquei 35 conexões e neste cliente que tinha radio com router eu coloquei 80 conexões acabou o problema aqui.

este santo remédio foi bom pra o meu caso que era problema de execesso de conexão
se o de alguem for mo mesmo então ta aqui o remedio

/firewall filter : for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

a mudañçao que deve ser feita e a seguinte so colocar a faixa de ips que vc usam ai no seu clientes ("10.0.0." . $i) , ("192.168.1." . $i)

---

Fera seguinte.... to com o mesmo problema, porem minha range de ip he diferente 192.168.x.2, vai do 1 - 252, em redes separadas, e naum estou conseguindo coloca pra funfa.. naum manjo mto de mk, soh o basico c vc puder me ajudar, fico mto grato..

E otra coisa.. vc naum tem alguma lista de porta de spywares para bloquear e tal..

Citação:

---

Postado originalmente por rfm

E otra coisa.. vc naum tem alguma lista de porta de spywares para bloquear e tal..

---

ta ai amigo.
/ip web-proxy access
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%2e%44%4c%4c/%73%70%2e%68%74%6d%6c
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%31%2d%73%65%2e%63%6f%6d/%68%6f%6d%65%2e%68%74%6d%6c
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%61%69%64=

..... tem muito mais, tentei postar mas diz que excede o numero de caracteres, coloquei em um arquivo em txt para voce baixar.
ta ai o link.
http://www.linuxap.com.br/firewall/blacklist.txt
So troque o ip address pelo range do seu IP ai.

[QUOTE=Portela;227781]pro2,

quais os significados destas velocidades abaixo

targent-address: 192.168.0.2 - 192.168.0.255 >>>> este e de 2 a 255
limit at: 32k >>>> ???
max limit: 75k >>>> ???
burst limit: 512k >>>> ???
burst threshold: 64k >>>> ???
time: 80 >>>> ???
interface: ether2 >>>>> este e interface de saida
queue type: ethernet-default >>>>>> ??????
parent: none >>>>>> ????????
priority: 8 >>>>>> ??????

GRATO

legal essa lista, mais soh uma duvida tem como adicionar td de uma vez, ou tem que ser uma por uma :)

[QUOTE=walteramelo;229142]

Citação:

---

Postado originalmente por Portela

pro2,

quais os significados destas velocidades abaixo

targent-address: 192.168.0.2 - 192.168.0.255 >>>> este e de 2 a 255
limit at: 32k >>>> ???
max limit: 75k >>>> ???
burst limit: 512k >>>> ???
burst threshold: 64k >>>> ???
time: 80 >>>> ???
interface: ether2 >>>>> este e interface de saida
queue type: ethernet-default >>>>>> ??????
parent: none >>>>>> ????????
priority: 8 >>>>>> ??????

GRATO

---

aqui tu vai tirar suas respostas.
https://under-linux.org/forums/mikro...om-queues.html

Citação:

---

Postado originalmente por tiagomatias

ta ai amigo.
/ip web-proxy access
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%2e%44%4c%4c/%73%70%2e%68%74%6d%6c
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%2e%64%6c%6c/%73%70%2e%68%74%6d%6c
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%31%2d%73%65%2e%63%6f%6d/%68%6f%6d%65%2e%68%74%6d%6c
add src-address=192.168.191.0/24 dst-port=80 action=deny url=%61%69%64=

..... tem muito mais, tentei postar mas diz que excede o numero de caracteres, coloquei em um arquivo em txt para voce baixar.
ta ai o link.
http://www.linuxap.com.br/firewall/blacklist.txt
So troque o ip address pelo range do seu IP ai.

---

Putz.. Legal cara vc ter postado isso. Tava tentando montar as minhas, mas tinha pouco conhecimento de portas e hosts que tinham spy e vírus..
Vlw mesmo..