Bom ativei no meu MK controle de conecções simultania por cliente.
A duvida cruel é quantas conecções estaria bom pro cliente e pra nos tbm?
5 , 10 , 15 + ou - gostariam q todos desse um parecer.
Versão Imprimível
Bom ativei no meu MK controle de conecções simultania por cliente.
A duvida cruel é quantas conecções estaria bom pro cliente e pra nos tbm?
5 , 10 , 15 + ou - gostariam q todos desse um parecer.
Onde é que se ativa isso? ou é uma regra de firewall?
é verdade, o que é vantagem e não é nesse controle de conexões, onde da para habilitar ?Citação:
Postado originalmente por cabeer
So ir em IP >>> FIREWALL >>>FILTER cria uma regra, em extra >> connection limit
qual o limite aconselhável para um cliente residencial, tipo, que navega pra pesquisa de escola, msn, orkut, essas coisas ... ?Citação:
Postado originalmente por cabeer
Coloquem 20 conexões simultanes, a maioria dos ADSL usam este valor, so os de 1 Mb ou 8 Mb usam 60 conexões
uso uma adsl de 1 Mb dow / 500 Kb up, alguma recomendação ?Citação:
Postado originalmente por igorallan
No caso de ADSL, acho um limite bom. Agora em outras situações, eu faria uma outra pergunta: isso tem prejudicado o desempenho do provedor de vcs ?
Cara, eu implementei o Connlimit (que é o módulo responsável pelo limite de conexões simultâneas) aqui num servidor CentOS. é a mesma coisa do Mikrotik...
De acordo com as minhas experiências, o melhor é você habilitar o controle por portas. Por exemplo, eu apenas limito o número de conexões simultâneas nas portas altas (1024 até 65535), porém, eu excluo desse limite algumas portas que estão dentro desse range, como o MSN (porta 1863), alguns jogos on-line, principalmente o lineage (porta 7777), etc...
O Connlimit foi a minha salvação! Eu não conseguia de jeito nenhum liberar Emule, Kazza e afins para meus clientes sem que minha repetidora comesasse a derrubar todo mundo, dar latência de mais de 5000 milisegundos. Isso tudo por que, o Emule por exemplo, quando você se conecta e manda baixar alguma coisa, numa única máquina, chega a abrir mais de 300 requisições simultâneas...ai um único cliente f*dia minha repetidora. Agora com o Connlimit eu tô limitando as portas altas a até 8 conexões simultâneas. e tá funcionando bacana, meus clientes agora tem usado p2p sem problemas (aliás, a única desvantagem é que a fila de downloads no Emule fica pequena), mas pelo menos tá liberado, e sem comprometer navegação (porta 80) e outras coisas.
Ah, lembrando também que se você usa proxy (transparente ou não), tem que excluir do range a porta 3128 (ou qualquer outra porta em que seu proxy esteja escutando).
seria interessante vc fazer uma regra assim:
limitar em 5 conexoes simultanea somente conexoes P2P !!!
e deixar o resto livre.. porque o que estraga a qualidade sao os p2p !!!
É isso aê!
P2P usa na maior parte UDP, ou seja sem conexão (connectionless)
isso.. udp por nao ter mta segurança.. ele tem maior desenpenho do que o tcp.. entao para a transferencia de arquivo.. fica mais rapido...
a solução que vou estudar eh limitar as conexoes p2p com o connlimit !!
Alguém pode dar um exemplo de como limitar o número de conexão para os P2P?
Seguinte, segundo minha experiência prática com o Connlimit, por mais que o connlimit só bloqueie conexões tcp, mesmo assim as conexões UDP são bastante limitadas tbm nos softwares p2p. Por exemplo, como eu limito as conexões do Emule a até 8 simultâneas, ele abre 8 tcp e 2 udp. se eu dobro esse número de conexões tcp, ele também dobra o de udp, no caso, vai pra 4.
Então, tem funcionado legal aqui meu esquema de bloqueio por portas (excluindo apenas as de serviços que vc sabe que não são p2p, como jogos on-line, instant messengers, etc.)
Eu tenho usado o IPTSTATE pra visualizar as conexões dos clientes!
roneyeduardo,
vc poderia dar um print nas sua regra de firewall que limit as conexões dos p2p?
Opá roney, amigão teria como vc por um print da regra, pois quando vou adcionar o filter, em "extra" a opção "conection limit" fica desabilitada, não tem que preencher algo na guia "geral" ou "advanced"?
desde já agradesço pela ajuda...
até mais.
Qual protocolo vc ta tentando limitar, so no tcp funfa o resto fica desabilitada msmCitação:
Postado originalmente por francisco.william
Boa Amigo caaber
Da uma olhada no meu Print vê se ta tudo correto? acho q ai está a galinha dos ovos de ouro do meu servidor... rssss
pocha coloquei uma ubiquiti sr2, aumentei bastante o numero de clientes depois dela... e os pings em alguns momentos ficam mt autos... acredito q deve ser por conta das conexões simultâneas.
0 chain=forward protocol=tcp connection-limit=20,32 action=acept
e tb alguem pode me explicar como excluir algumas portas desse limite e como excluir o rage da porta do proxy?
desde já agradeço.
Amigo coltCitação:
Postado originalmente por Colt
coloca na action drop e nau acept
Dp q imprementei essa regra fico xique mesmo os p2p diminiu consumo de banda
vai um print
chain=forward src-address=192.168.0.0/16 protocol=tcp
connection-limit=15,32 action=drop
assim ta funfando blz
Preciso do (src-address)?
como faço pra criar a regra de quem vai ficar fora do controle? tipo msn jogos online etc...
cabeer .. vc limitou sua rede TODA a consumir 15 conexoes apenas..
o certo eh limitar POR IP !!!
e pra exlcuir um ip do limite.. eh soh dar um accept nele antes da regra...
Acretito q dp da regra nunca testei , ak criei um outro range de ip tipo 172.x.x.x ai esse fica fora da rgegraCitação:
Postado originalmente por Alexandre Correa
cabeer, vc poderia postar um print do seu filter pra mim agora depois de tudo feito? pois meus clientes estão tendo mais do que 15 conexões simultânes...
Caro amigoCitação:
Postado originalmente por Colt
pq precisa deixar de fora msn jogos nau tamos bloqueando portas , somente conlimit entau funfa tudo blz. 15 con. por cliente da pra funfa tudo.
Pq o maior problema é a aq. filho da p.....ts o p2p mais em especifico o aris q o Mk nau controla , seis querem saber nem a banda é controlada direto com esse soft, ele chega abrir 150, 200 conn.
caro alexandre na minha regra ta 15 conn. por cliente, pra fica 15 pra todos os ips so se na mascara colocar por ex. connection-limit=15,16 teste ai e dp postem ak. outra coisa trabalho com duas versao do MK 2.9.6 e 2.9.27 essa regra testei so na 2.9.6
Tbm percebi isso ja q se inclui a regra , deve ser devido q o cliente ja estava com essas conn. aberta . dp de um tempo estabiliza.Citação:
Postado originalmente por Colt
Olá Pessoal, Segundo manual do Mikortik a regra seria esta:
Para permitir não mais de 5 conexões simultaneas para cada cliente faça o seguinte:
"To only allow not more than 5 simultaneous connections from each of the clients, do the following:"
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=6,32 action=drop
Testei aqui e está funcionando bem, temos que esperar um pouquinho para estabilizar caso as conexões estejam abertas. Fico no aguardo de alguém postar como faz as exceções certinho.
Citação:
Postado originalmente por delorto
o amigo eu coloquei esta regra aqui no meu servidor mais não esta dando certo o que pode esta errado
delorto,
é só isso? não tem de especificar a faixa das portas?
olá amigos, seguindo a orientação do colega Wagner, mas quando chego em connection limit tem lá o numero 100 mas não consigo mudar nem habilitar essa opção segui todos os passos o que pode ser?Citação:
Postado originalmente por wagnercandioto
Aê pessoal, foi mal pela demora...eu passei uns dias fora. Seguinte, eu faço os controles de conexão num CentOS mesmo, com as regras do iptables na mão (ou seja, eu não tô fazendo isso num mikrotik). Mas se mesmo assim ainda houver interesse nas minhas regras, é só pedir que eu posto (só não vou postar logo de cara pra não ficar off-topic)
Amigo primeiro na aba General em protocolo coloca tcp ai pode ir em extra, que nau vai ta mais inativoCitação:
Postado originalmente por jocelmo
a regra inteira fica assim
chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn
connection-limit=15,32 action=drop
Agora adpta pra vc.
espero ter ajudado?
cabeer,
Me conta uma coisa. Como tu faz para saber se realmente têm funcionado a regra? Sinceramente aquele gráfico das estatísticas não me deixa muito feliz... Eu fiz a regra da seguinte forma:
Código :
[[email protected]] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward src-address=201.35.XX.0/25 protocol=tcp tcp-flags=syn connection-limit=21,32 action=drop [[email protected]] >
Eu fiz ela assim antes de ler esse tópico pois tinha lido direto no manual. Ela está ativa mas nunca tive convicção de seu funcionamento. Meu objetivo é que cada IP do range 201.35.XX.0/25 tenha 20 conexões no máximo. Será que está correto?
Além disso eu não deveria limitar as conexões de entrada também?! Eu tentei mas ele não limita nada quando coloco o mesmo range como dst-address...
Ola nataniel
me confirma uma coisa vc da pro seus clientes ip valido? Se for assim sua regra ta certa. Agora se for ip invalido q vc passa pro cli ai vc coloca o range q vc usa ai.Quanto a limitar a entrada nau vejo porque , acho eu q o limitador conta a quantidade de conn. nau importando daonde vem e pra onde vai.
Pessoal me fala uma coisa e como faço para fazer esse limite para uma porta especifica tipo 80,
já tentei colocar src-port=80 mas ñ deu certo. Minha ideia seria limitar o numero de aberturas do browser do cliente......, e no futuro o numeros de downloads de cada cliente.
cabeer,Citação:
Postado originalmente por cabeer
Sim, todos os meus clientes têm ip dinâmico roteável. Alguns casos de links empresariais têm ip fixo roteável. Mas ninguém conecta com ip não roteável... hehehehe... jogada de marketing. Meu maior problema está no cache que altera o ip do cliente. O resto é uma maravilha.
Minha rede é toda roteada.
nataniel...
o patch do balabit "works fine" :P
Ei pessoal, que problema é esse de cache que o Nataniel falou? Tipo, é alguma bronca relacionada à pppoE?
Alguem ai que já aplicou essa regra sentiu lentidao na hora de abrir páginas, aqui apliquei num ip especifico (20 conexoes) e funcionou blz, mais senti uma lentidao para navegar, acho que o ideal seria limitar somente nas portas altas, que sao as portas de p2p, acho que isso seria a melhor solucao... o que vs me dizem????
Imagina o que seria 20 conexoes para uma lanhouse com 12 maquinas??? acho que deve parar tudo ficar tudo engasgado... rsrsrsr..
da a opiniao da galera...
o service pack 2 do windows xp limita as conexoes do sistema para 10 .. agora nao sei se somente HTTP ou as outras...
Alexandre,Citação:
Postado originalmente por Alexandre Correa
Eu sei, o problema é que eu não tive tempo de aplicar esse patch e nem tive disponibilidade de testar em outro servidor antes de enfiar ele dentro do meu servidor principal.
Bom, sobre minha pergunta anterior nesse tópico (sobre essa questão do cache e do patch do Balabit do qual Nataniel e Alexandre Correa estao falando), eu dei uma pesquisada no google e vi que tinha relação com o TPROXY. E ai pessoal, vcs tem usado isso? Como funciona? Valeu!
tive um problema depois q limitei as coneçoes
msn, orkut n quer + abrir em algums clientes
tem como resolver isso?
Da um print na sua regra pra ve se tem algo erradoCitação:
Postado originalmente por Snake_jp
Bom, acho que primeiramente você deveria retirar o limite de conexões para que seus clientes voltem a ter o acesso normalizado, ai depois vc faz mais alguns testes
minha regra e esta:
/ip firewall filter add chain=forward Src.adress=192.168.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
depois q fiz isso ouve problemas no msn e orkut deixou de abrir em alguns clientes
Bom ta tudo certo.Citação:
Postado originalmente por Snake_jp
ja tive algum problema do tipo do seu, descobri o seguinte, fui em ip >>firewall >>connections e deletei todas as conn. ai volto ao normal.Estou esperando o problema novamente pra estuda o caso.
tenta ai..............
cabeer,
Eu também tive esse problema. Limitei meus clientes a 30 conexões TCP (flag syn) e alguns tiveram problemas com a conexão que depois de um tempo parava completamente de navegar. Achei estranho e desabilitei o limite. Notei isso em clientes PPPoE (eu so uso PPPoE) mas no mesmo cliente se eu usasse o login dele não abria nada (mas ping ok) já se eu colocasse qualquer outro login navegava na boa.
Detalhe: meu PPPoE tenta atribuir sempre o mesmo ip para o mesmo login. Caso não haja possibilidade ele troca o IP. Quando troquei o login ele mudou o IP e pimba... Funcionou.
Tive esse problemas em dois clientes e AMBOS são heavy-users em P2P.
tentem limitar pelas portas de destino acima de 1024 (tipo, 1024:65535, que é aí que o bixo pega)...
Outra coisa, tenta tirar da regra o Src-Address e colocar a interface de entrada das requisições e mantenha a máscara 32 (connection-limit=15,32 -> o primeiro é o número de con. simultaneas e o segundo número é a máscara de sub-rede, no caso /32 significa ip por ip, ou seja, cada ip da sua rede terá 15 conex. simultaneas)...