Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por Colt
Boa Amigo caaber
Da uma olhada no meu Print vê se ta tudo correto? acho q ai está a galinha dos ovos de ouro do meu servidor... rssss
pocha coloquei uma ubiquiti sr2, aumentei bastante o numero de clientes depois dela... e os pings em alguns momentos ficam mt autos... acredito q deve ser por conta das conexões simultâneas.
0 chain=forward protocol=tcp connection-limit=20,32 action=acept
e tb alguem pode me explicar como excluir algumas portas desse limite e como excluir o rage da porta do proxy?
desde já agradeço.
Amigo colt
coloca na action drop e nau acept
Dp q imprementei essa regra fico xique mesmo os p2p diminiu consumo de banda
vai um print
chain=forward src-address=192.168.0.0/16 protocol=tcp
connection-limit=15,32 action=drop
assim ta funfando blz
Re: Acho que todos gostariam de tirar essa duvida?
Preciso do (src-address)?
como faço pra criar a regra de quem vai ficar fora do controle? tipo msn jogos online etc...
Re: Acho que todos gostariam de tirar essa duvida?
cabeer .. vc limitou sua rede TODA a consumir 15 conexoes apenas..
o certo eh limitar POR IP !!!
e pra exlcuir um ip do limite.. eh soh dar um accept nele antes da regra...
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por Alexandre Correa
cabeer .. vc limitou sua rede TODA a consumir 15 conexoes apenas..
o certo eh limitar POR IP !!!
e pra exlcuir um ip do limite.. eh soh dar um accept nele antes da regra...
Acretito q dp da regra nunca testei , ak criei um outro range de ip tipo 172.x.x.x ai esse fica fora da rgegra
Re: Acho que todos gostariam de tirar essa duvida?
cabeer, vc poderia postar um print do seu filter pra mim agora depois de tudo feito? pois meus clientes estão tendo mais do que 15 conexões simultânes...
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por Colt
Preciso do (src-address)?
como faço pra criar a regra de quem vai ficar fora do controle? tipo msn jogos online etc...
Caro amigo
pq precisa deixar de fora msn jogos nau tamos bloqueando portas , somente conlimit entau funfa tudo blz. 15 con. por cliente da pra funfa tudo.
Pq o maior problema é a aq. filho da p.....ts o p2p mais em especifico o aris q o Mk nau controla , seis querem saber nem a banda é controlada direto com esse soft, ele chega abrir 150, 200 conn.
caro alexandre na minha regra ta 15 conn. por cliente, pra fica 15 pra todos os ips so se na mascara colocar por ex. connection-limit=15,16 teste ai e dp postem ak. outra coisa trabalho com duas versao do MK 2.9.6 e 2.9.27 essa regra testei so na 2.9.6
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por Colt
cabeer, vc poderia postar um print do seu filter pra mim agora depois de tudo feito? pois meus clientes estão tendo mais do que 15 conexões simultânes...
Tbm percebi isso ja q se inclui a regra , deve ser devido q o cliente ja estava com essas conn. aberta . dp de um tempo estabiliza.
Re: Acho que todos gostariam de tirar essa duvida?
Olá Pessoal, Segundo manual do Mikortik a regra seria esta:
Para permitir não mais de 5 conexões simultaneas para cada cliente faça o seguinte:
"To only allow not more than 5 simultaneous connections from each of the clients, do the following:"
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
Testei aqui e está funcionando bem, temos que esperar um pouquinho para estabilizar caso as conexões estejam abertas. Fico no aguardo de alguém postar como faz as exceções certinho.
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por delorto
Olá Pessoal, Segundo manual do Mikortik a regra seria esta:
Para permitir não mais de 5 conexões simultaneas para cada cliente faça o seguinte:
"To only allow not more than 5 simultaneous connections from each of the clients, do the following:"
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
Testei aqui e está funcionando bem, temos que esperar um pouquinho para estabilizar caso as conexões estejam abertas. Fico no aguardo de alguém postar como faz as exceções certinho.
o amigo eu coloquei esta regra aqui no meu servidor mais não esta dando certo o que pode esta errado
Re: Acho que todos gostariam de tirar essa duvida?
delorto,
é só isso? não tem de especificar a faixa das portas?
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por wagnercandioto
Citação:
Postado originalmente por cabeer
So ir em IP >>> FIREWALL >>>FILTER cria uma regra, em extra >> connection limit
qual o limite aconselhável para um cliente residencial, tipo, que navega pra pesquisa de escola, msn, orkut, essas coisas ... ?
olá amigos, seguindo a orientação do colega Wagner, mas quando chego em connection limit tem lá o numero 100 mas não consigo mudar nem habilitar essa opção segui todos os passos o que pode ser?
Re: Acho que todos gostariam de tirar essa duvida?
Aê pessoal, foi mal pela demora...eu passei uns dias fora. Seguinte, eu faço os controles de conexão num CentOS mesmo, com as regras do iptables na mão (ou seja, eu não tô fazendo isso num mikrotik). Mas se mesmo assim ainda houver interesse nas minhas regras, é só pedir que eu posto (só não vou postar logo de cara pra não ficar off-topic)
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por jocelmo
Citação:
Postado originalmente por wagnercandioto
Citação:
Postado originalmente por cabeer
So ir em IP >>> FIREWALL >>>FILTER cria uma regra, em extra >> connection limit
qual o limite aconselhável para um cliente residencial, tipo, que navega pra pesquisa de escola, msn, orkut, essas coisas ... ?
olá amigos, seguindo a orientação do colega Wagner, mas quando chego em connection limit tem lá o numero 100 mas não consigo mudar nem habilitar essa opção segui todos os passos o que pode ser?
Amigo primeiro na aba General em protocolo coloca tcp ai pode ir em extra, que nau vai ta mais inativo
a regra inteira fica assim
chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn
connection-limit=15,32 action=drop
Agora adpta pra vc.
espero ter ajudado?
Re: Acho que todos gostariam de tirar essa duvida?
cabeer,
Me conta uma coisa. Como tu faz para saber se realmente têm funcionado a regra? Sinceramente aquele gráfico das estatísticas não me deixa muito feliz... Eu fiz a regra da seguinte forma:
Código :
[[email protected]] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward src-address=201.35.XX.0/25 protocol=tcp tcp-flags=syn connection-limit=21,32 action=drop
[[email protected]] >
Eu fiz ela assim antes de ler esse tópico pois tinha lido direto no manual. Ela está ativa mas nunca tive convicção de seu funcionamento. Meu objetivo é que cada IP do range 201.35.XX.0/25 tenha 20 conexões no máximo. Será que está correto?
Além disso eu não deveria limitar as conexões de entrada também?! Eu tentei mas ele não limita nada quando coloco o mesmo range como dst-address...
Re: Acho que todos gostariam de tirar essa duvida?
Ola nataniel
me confirma uma coisa vc da pro seus clientes ip valido? Se for assim sua regra ta certa. Agora se for ip invalido q vc passa pro cli ai vc coloca o range q vc usa ai.Quanto a limitar a entrada nau vejo porque , acho eu q o limitador conta a quantidade de conn. nau importando daonde vem e pra onde vai.
Re: Acho que todos gostariam de tirar essa duvida?
Pessoal me fala uma coisa e como faço para fazer esse limite para uma porta especifica tipo 80,
já tentei colocar src-port=80 mas ñ deu certo. Minha ideia seria limitar o numero de aberturas do browser do cliente......, e no futuro o numeros de downloads de cada cliente.
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por cabeer
Ola nataniel
me confirma uma coisa vc da pro seus clientes ip valido? Se for assim sua regra ta certa. Agora se for ip invalido q vc passa pro cli ai vc coloca o range q vc usa ai.Quanto a limitar a entrada nau vejo porque , acho eu q o limitador conta a quantidade de conn. nau importando daonde vem e pra onde vai.
cabeer,
Sim, todos os meus clientes têm ip dinâmico roteável. Alguns casos de links empresariais têm ip fixo roteável. Mas ninguém conecta com ip não roteável... hehehehe... jogada de marketing. Meu maior problema está no cache que altera o ip do cliente. O resto é uma maravilha.
Minha rede é toda roteada.
Re: Acho que todos gostariam de tirar essa duvida?
nataniel...
o patch do balabit "works fine" :P
Re: Acho que todos gostariam de tirar essa duvida?
Ei pessoal, que problema é esse de cache que o Nataniel falou? Tipo, é alguma bronca relacionada à pppoE?
Re: Acho que todos gostariam de tirar essa duvida?
Alguem ai que já aplicou essa regra sentiu lentidao na hora de abrir páginas, aqui apliquei num ip especifico (20 conexoes) e funcionou blz, mais senti uma lentidao para navegar, acho que o ideal seria limitar somente nas portas altas, que sao as portas de p2p, acho que isso seria a melhor solucao... o que vs me dizem????
Imagina o que seria 20 conexoes para uma lanhouse com 12 maquinas??? acho que deve parar tudo ficar tudo engasgado... rsrsrsr..
da a opiniao da galera...