olá amigos, seguindo a orientação do colega Wagner, mas quando chego em connection limit tem lá o numero 100 mas não consigo mudar nem habilitar essa opção segui todos os passos o que pode ser?Citação:
Postado originalmente por wagnercandioto
Versão Imprimível
olá amigos, seguindo a orientação do colega Wagner, mas quando chego em connection limit tem lá o numero 100 mas não consigo mudar nem habilitar essa opção segui todos os passos o que pode ser?Citação:
Postado originalmente por wagnercandioto
Aê pessoal, foi mal pela demora...eu passei uns dias fora. Seguinte, eu faço os controles de conexão num CentOS mesmo, com as regras do iptables na mão (ou seja, eu não tô fazendo isso num mikrotik). Mas se mesmo assim ainda houver interesse nas minhas regras, é só pedir que eu posto (só não vou postar logo de cara pra não ficar off-topic)
Amigo primeiro na aba General em protocolo coloca tcp ai pode ir em extra, que nau vai ta mais inativoCitação:
Postado originalmente por jocelmo
a regra inteira fica assim
chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn
connection-limit=15,32 action=drop
Agora adpta pra vc.
espero ter ajudado?
cabeer,
Me conta uma coisa. Como tu faz para saber se realmente têm funcionado a regra? Sinceramente aquele gráfico das estatísticas não me deixa muito feliz... Eu fiz a regra da seguinte forma:
Código :
[[email protected]] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward src-address=201.35.XX.0/25 protocol=tcp tcp-flags=syn connection-limit=21,32 action=drop [[email protected]] >
Eu fiz ela assim antes de ler esse tópico pois tinha lido direto no manual. Ela está ativa mas nunca tive convicção de seu funcionamento. Meu objetivo é que cada IP do range 201.35.XX.0/25 tenha 20 conexões no máximo. Será que está correto?
Além disso eu não deveria limitar as conexões de entrada também?! Eu tentei mas ele não limita nada quando coloco o mesmo range como dst-address...
Ola nataniel
me confirma uma coisa vc da pro seus clientes ip valido? Se for assim sua regra ta certa. Agora se for ip invalido q vc passa pro cli ai vc coloca o range q vc usa ai.Quanto a limitar a entrada nau vejo porque , acho eu q o limitador conta a quantidade de conn. nau importando daonde vem e pra onde vai.