Acho que todos gostariam de tirar essa duvida?

[alexandrecorrea]

o service pack 2 do windows xp limita as conexoes do sistema para 10 .. agora nao sei se somente HTTP ou as outras...

[nataniel]

nataniel...

o patch do balabit "works fine" :P

Alexandre,

Eu sei, o problema é que eu não tive tempo de aplicar esse patch e nem tive disponibilidade de testar em outro servidor antes de enfiar ele dentro do meu servidor principal.

[roneyeduardo]

Bom, sobre minha pergunta anterior nesse tópico (sobre essa questão do cache e do patch do Balabit do qual Nataniel e Alexandre Correa estao falando), eu dei uma pesquisada no google e vi que tinha relação com o TPROXY. E ai pessoal, vcs tem usado isso? Como funciona? Valeu!

[Snake_jp]

tive um problema depois q limitei as coneçoes
msn, orkut n quer + abrir em algums clientes
tem como resolver isso?

[cabeer]

tive um problema depois q limitei as coneçoes
msn, orkut n quer + abrir em algums clientes
tem como resolver isso?

Da um print na sua regra pra ve se tem algo errado

[roneyeduardo]

Bom, acho que primeiramente você deveria retirar o limite de conexões para que seus clientes voltem a ter o acesso normalizado, ai depois vc faz mais alguns testes

[Snake_jp]

minha regra e esta:
/ip firewall filter add chain=forward Src.adress=192.168.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
depois q fiz isso ouve problemas no msn e orkut deixou de abrir em alguns clientes

[cabeer]

minha regra e esta:
/ip firewall filter add chain=forward Src.adress=192.168.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
depois q fiz isso ouve problemas no msn e orkut deixou de abrir em alguns clientes

Bom ta tudo certo.
ja tive algum problema do tipo do seu, descobri o seguinte, fui em ip >>firewall >>connections e deletei todas as conn. ai volto ao normal.Estou esperando o problema novamente pra estuda o caso.

tenta ai..............

[nataniel]

cabeer,

Eu também tive esse problema. Limitei meus clientes a 30 conexões TCP (flag syn) e alguns tiveram problemas com a conexão que depois de um tempo parava completamente de navegar. Achei estranho e desabilitei o limite. Notei isso em clientes PPPoE (eu so uso PPPoE) mas no mesmo cliente se eu usasse o login dele não abria nada (mas ping ok) já se eu colocasse qualquer outro login navegava na boa.

Detalhe: meu PPPoE tenta atribuir sempre o mesmo ip para o mesmo login. Caso não haja possibilidade ele troca o IP. Quando troquei o login ele mudou o IP e pimba... Funcionou.

Tive esse problemas em dois clientes e AMBOS são heavy-users em P2P.

[roneyeduardo]

tentem limitar pelas portas de destino acima de 1024 (tipo, 1024:65535, que é aí que o bixo pega)...

Outra coisa, tenta tirar da regra o Src-Address e colocar a interface de entrada das requisições e mantenha a máscara 32 (connection-limit=15,32 -> o primeiro é o número de con. simultaneas e o segundo número é a máscara de sub-rede, no caso /32 significa ip por ip, ou seja, cada ip da sua rede terá 15 conex. simultaneas)...

[nataniel]

roney,

Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.

Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).

Veja só como eu criei a regra:

Código :

[[email protected]] > /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0  chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32 
   action=drop 
[[email protected]] >

Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?

[Mr_Dom]

roney,

Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?

acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...

abraços..até

[nataniel]

Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!

Refiz a regra assim:

Código :

[[email protected]] ip firewall filter> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0  chain=forward protocol=tcp dst-port=53 action=accept 
 
 1  chain=forward protocol=tcp dst-port=80 action=accept 
 
 2  chain=forward protocol=tcp dst-port=443 action=accept 
 
 3  chain=forward protocol=tcp dst-port=1863 action=accept 
 
 4  chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop 
[[email protected]] ip firewall filter>

Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...

[Mr_Dom]

se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...

flws...até

[roneyeduardo]

Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.

Quanto às portas, eu bloqueio assim:

- de 2000 até 3027 (pra livrar o proxy = 3028)
- de 3029 até 65535 (depois do proxy, até a última porta TCP).

Lembrando que o connlimit só funciona para o protocolo TCP.

[Nazzi]

Não consigo fazer minha regra funcionar... estou com conexões estabilizadas a 4 dias com uma lista imansa, coloquei a regra que o pessoal disse em filter, mas nada... Não filtra 1 Byte se quer...

Ae está minha regra:
chain=forward src-address=10.0.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop

Preciso de ajuda...

Grato

Thiago

[cabeer]

Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!

Refiz a regra assim:

Código :

[[email protected]] ip firewall filter> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0 chain=forward protocol=tcp dst-port=53 action=accept 
 
 1 chain=forward protocol=tcp dst-port=80 action=accept 
 
 2 chain=forward protocol=tcp dst-port=443 action=accept 
 
 3 chain=forward protocol=tcp dst-port=1863 action=accept 
 
 4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop 
[[email protected]] ip firewall filter>

Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...

Acho q é como o Mr_Dom falo ninguem estaria ultrapassando a quantidade de conn. no momento.


inte..............

[Mr_Dom]

pessoal...

tem alguem ae q ta com problemas de packet reject devido ao numero imenso de conexoes simultaneas...?

pois li alguma coisa q a cada 128mb de ram ele suporta em torno de 7500 conexoes (me corrijam se tiver errado)...depois disso ele começa a "estourar a mem" ae trava todas as conexões...vc reinicia a maquina e volta tudo ao normal...por isso a necessidade de se usar limite de conexões...mas aqui tmb naum consegui implementar nda q fungue legal...

lembrando q por exemplo se o camarada tiver usando algum prog de p2p...quando for baixar alguma coisa ele ja abre umas 20 conexao...se tiver msn tmb...quando for querer usar o browser naum vai dar...teriamos q achar uma solução pra isso..


se alguem tiver uma idéia por favor nos passe..q vai ajudar a muitos...


atéeeeee

[nataniel]

Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.

Quanto às portas, eu bloqueio assim:

- de 2000 até 3027 (pra livrar o proxy = 3028)
- de 3029 até 65535 (depois do proxy, até a última porta TCP).

Lembrando que o connlimit só funciona para o protocolo TCP.

roney,

Eu não posso usar pelo seguinte, se eu limitar pela interface de entrada (nome local) eu estarei limitando tudo que é ip que entrar por essa interface, concorda?

Pensando assim então a rede que eu quero limitar 200.140.222.128/25 será perfeitamente limitada, ip por ip, MAS as redes 200.163.208.116/30 e 200.163.208.120/30 também serão limitadas pois elas entram pela mesma interface e isso não pode acontecer pois estas são redes empresárias que NÃO tem limite de conexões simultâneas (links dedicados).

PS.: Meu marcadores da rede com portas mexeram de ontem pra hoje... Eita nois!

[roneyeduardo]

Ah tá Nata...saquei...Bom, quanto à questão que o MR_DOM levantou, quanto ao browser, o jeito mesmo é trabalhar em cima das portas...como eu tinha explicado anteriormente...