Sim,
Mas lembrando que você pode aumentar o número de conexões simultâneas, e colocar as regras para as portas acima desta.
Versão Imprimível
Sim,
Mas lembrando que você pode aumentar o número de conexões simultâneas, e colocar as regras para as portas acima desta.
Encontrei na net umas regras e fiz algumas alterações e cheguei nas regras abaixo. Gostaria de saber se essas regras conseguiram fazer o que pretendo, limitar cada cliente a 10 conexões com exceções as portas marcadas no mangle.
Citação:
ip firewall mangle
0 chain=forward protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes
1 chain=forward protocol=tcp dst-port=22 action=mark-packet new-packet-mark=semlimite passthrough=yes
2 chain=forward protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite passthrough=yes
3 chain=forward protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite passthrough=yes
4 chain=forward protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes
5 chain=forward protocol=tcp dst-port=53 action=mark-packet new-packet-mark=semlimite passthrough=yes
6 chain=forward protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes
7 chain=forward protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes
8 chain=forward protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes
9 chain=forward protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes
10 chain=forward protocol=tcp dst-port=6891-6901 action=mark-packet new-packet-mark=semlimite passthrough=yes
11 chain=forward protocol=tcp dst-port=8080 action=mark-packet new-packet-mark=semlimite passthrough=yes
ip firewall filter
0 chain=forward src-address=192.168.1.2 protocol=tcp tcp-flags=syn packet-mark=!semlimite
connection-limit=10,32 action=drop
Tendo em vista que possuo varias subnets como disse acima, no caso dessa regra:
Se eu mudar para:Citação:
ip firewall filter
0 chain=forward src-address=192.168.1.2 protocol=tcp tcp-flags=syn packet-mark=!semlimite
connection-limit=10,32 action=drop
Acredito que não precisarei criar uma regra no "filter" para cada ip!Citação:
ip firewall filter
0 chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn packet-mark=!semlimite
connection-limit=10,32 action=drop
Olá amigo,
Utilize isto e resolverá o seu problema
/ip firewall filter
add action=drop chain=forward comment="Bloqueia conexoes invalidas" \
connection-state=invalid disabled=no
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=1-52 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=54-79 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=81-442 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=444-1862 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=1864-3127 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=3129-3388 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=30,32 disabled=no dst-port=3390-5899 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=5901-8079 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
connection-limit=20,32 disabled=no dst-port=8081-65535 protocol=tcp \
src-address-list=!sem-limite-conn tcp-flags=syn
add action=accept chain=forward comment="Permite conexoes estabelecidas" \
connection-state=established disabled=no
add action=accept chain=forward comment="Permite conexoes relatadas" \
connection-state=related disabled=no
nesse caso eu limito a 20 conexoes por porta/ip, "connection-limit=20,32
e voce escolher quais portas quer limitar em dst-port, por exemplo
dst-port=135-139
quer dizer que a regra se aplica as portas 135, 136,137,138,139
entao voce cria varias regras e escolhe as portas que voce necessita nao bloquear
Se precisar é só dar um toque.
Valeu