Re: Acho que todos gostariam de tirar essa duvida?
cabeer,
Eu também tive esse problema. Limitei meus clientes a 30 conexões TCP (flag syn) e alguns tiveram problemas com a conexão que depois de um tempo parava completamente de navegar. Achei estranho e desabilitei o limite. Notei isso em clientes PPPoE (eu so uso PPPoE) mas no mesmo cliente se eu usasse o login dele não abria nada (mas ping ok) já se eu colocasse qualquer outro login navegava na boa.
Detalhe: meu PPPoE tenta atribuir sempre o mesmo ip para o mesmo login. Caso não haja possibilidade ele troca o IP. Quando troquei o login ele mudou o IP e pimba... Funcionou.
Tive esse problemas em dois clientes e AMBOS são heavy-users em P2P.
Re: Acho que todos gostariam de tirar essa duvida?
tentem limitar pelas portas de destino acima de 1024 (tipo, 1024:65535, que é aí que o bixo pega)...
Outra coisa, tenta tirar da regra o Src-Address e colocar a interface de entrada das requisições e mantenha a máscara 32 (connection-limit=15,32 -> o primeiro é o número de con. simultaneas e o segundo número é a máscara de sub-rede, no caso /32 significa ip por ip, ou seja, cada ip da sua rede terá 15 conex. simultaneas)...
Re: Acho que todos gostariam de tirar essa duvida?
roney,
Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.
Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).
Veja só como eu criei a regra:
Código :
[[email protected]] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32
action=drop
[[email protected]] >
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por nataniel
roney,
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...
abraços..até
Re: Acho que todos gostariam de tirar essa duvida?
Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!
Refiz a regra assim:
Código :
[[email protected]] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward protocol=tcp dst-port=53 action=accept
1 chain=forward protocol=tcp dst-port=80 action=accept
2 chain=forward protocol=tcp dst-port=443 action=accept
3 chain=forward protocol=tcp dst-port=1863 action=accept
4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop
[[email protected]] ip firewall filter>
Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
Re: Acho que todos gostariam de tirar essa duvida?
se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...
flws...até