o service pack 2 do windows xp limita as conexoes do sistema para 10 .. agora nao sei se somente HTTP ou as outras...
o service pack 2 do windows xp limita as conexoes do sistema para 10 .. agora nao sei se somente HTTP ou as outras...
Alexandre,Postado originalmente por Alexandre Correa
Eu sei, o problema é que eu não tive tempo de aplicar esse patch e nem tive disponibilidade de testar em outro servidor antes de enfiar ele dentro do meu servidor principal.
Bom, sobre minha pergunta anterior nesse tópico (sobre essa questão do cache e do patch do Balabit do qual Nataniel e Alexandre Correa estao falando), eu dei uma pesquisada no google e vi que tinha relação com o TPROXY. E ai pessoal, vcs tem usado isso? Como funciona? Valeu!
tive um problema depois q limitei as coneçoes
msn, orkut n quer + abrir em algums clientes
tem como resolver isso?
Da um print na sua regra pra ve se tem algo erradoPostado originalmente por Snake_jp
Bom, acho que primeiramente você deveria retirar o limite de conexões para que seus clientes voltem a ter o acesso normalizado, ai depois vc faz mais alguns testes
minha regra e esta:
/ip firewall filter add chain=forward Src.adress=192.168.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
depois q fiz isso ouve problemas no msn e orkut deixou de abrir em alguns clientes
Bom ta tudo certo.Postado originalmente por Snake_jp
ja tive algum problema do tipo do seu, descobri o seguinte, fui em ip >>firewall >>connections e deletei todas as conn. ai volto ao normal.Estou esperando o problema novamente pra estuda o caso.
tenta ai..............
cabeer,
Eu também tive esse problema. Limitei meus clientes a 30 conexões TCP (flag syn) e alguns tiveram problemas com a conexão que depois de um tempo parava completamente de navegar. Achei estranho e desabilitei o limite. Notei isso em clientes PPPoE (eu so uso PPPoE) mas no mesmo cliente se eu usasse o login dele não abria nada (mas ping ok) já se eu colocasse qualquer outro login navegava na boa.
Detalhe: meu PPPoE tenta atribuir sempre o mesmo ip para o mesmo login. Caso não haja possibilidade ele troca o IP. Quando troquei o login ele mudou o IP e pimba... Funcionou.
Tive esse problemas em dois clientes e AMBOS são heavy-users em P2P.
tentem limitar pelas portas de destino acima de 1024 (tipo, 1024:65535, que é aí que o bixo pega)...
Outra coisa, tenta tirar da regra o Src-Address e colocar a interface de entrada das requisições e mantenha a máscara 32 (connection-limit=15,32 -> o primeiro é o número de con. simultaneas e o segundo número é a máscara de sub-rede, no caso /32 significa ip por ip, ou seja, cada ip da sua rede terá 15 conex. simultaneas)...
roney,
Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.
Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).
Veja só como eu criei a regra:
Código :[[email protected]] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32 action=drop [[email protected]] >
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...Postado originalmente por nataniel
abraços..até
Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!
Refiz a regra assim:
Código :[[email protected]] ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward protocol=tcp dst-port=53 action=accept 1 chain=forward protocol=tcp dst-port=80 action=accept 2 chain=forward protocol=tcp dst-port=443 action=accept 3 chain=forward protocol=tcp dst-port=1863 action=accept 4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop [[email protected]] ip firewall filter>
Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...
flws...até
Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.
Quanto às portas, eu bloqueio assim:
- de 2000 até 3027 (pra livrar o proxy = 3028)
- de 3029 até 65535 (depois do proxy, até a última porta TCP).
Lembrando que o connlimit só funciona para o protocolo TCP.
Não consigo fazer minha regra funcionar... estou com conexões estabilizadas a 4 dias com uma lista imansa, coloquei a regra que o pessoal disse em filter, mas nada... Não filtra 1 Byte se quer...
Ae está minha regra:
chain=forward src-address=10.0.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
Preciso de ajuda...
Grato
Thiago
Acho q é como o Mr_Dom falo ninguem estaria ultrapassando a quantidade de conn. no momento.Postado originalmente por nataniel
inte..............
pessoal...
tem alguem ae q ta com problemas de packet reject devido ao numero imenso de conexoes simultaneas...?
pois li alguma coisa q a cada 128mb de ram ele suporta em torno de 7500 conexoes (me corrijam se tiver errado)...depois disso ele começa a "estourar a mem" ae trava todas as conexões...vc reinicia a maquina e volta tudo ao normal...por isso a necessidade de se usar limite de conexões...mas aqui tmb naum consegui implementar nda q fungue legal...
lembrando q por exemplo se o camarada tiver usando algum prog de p2p...quando for baixar alguma coisa ele ja abre umas 20 conexao...se tiver msn tmb...quando for querer usar o browser naum vai dar...teriamos q achar uma solução pra isso..
se alguem tiver uma idéia por favor nos passe..q vai ajudar a muitos...
atéeeeee
roney,Postado originalmente por roneyeduardo
Eu não posso usar pelo seguinte, se eu limitar pela interface de entrada (nome local) eu estarei limitando tudo que é ip que entrar por essa interface, concorda?
Pensando assim então a rede que eu quero limitar 200.140.222.128/25 será perfeitamente limitada, ip por ip, MAS as redes 200.163.208.116/30 e 200.163.208.120/30 também serão limitadas pois elas entram pela mesma interface e isso não pode acontecer pois estas são redes empresárias que NÃO tem limite de conexões simultâneas (links dedicados).
PS.: Meu marcadores da rede com portas mexeram de ontem pra hoje... Eita nois!
Ah tá Nata...saquei...Bom, quanto à questão que o MR_DOM levantou, quanto ao browser, o jeito mesmo é trabalhar em cima das portas...como eu tinha explicado anteriormente...