Galera, quem esta usando controle de conexões simultâneas, que não tem tido grandes complicações e resultados bons com este implemento.
Por favor postem as experiências, quem quiser postar como tem configurado também é intressante.
Abraços.
Galera, quem esta usando controle de conexões simultâneas, que não tem tido grandes complicações e resultados bons com este implemento.
Por favor postem as experiências, quem quiser postar como tem configurado também é intressante.
Abraços.
Olá
Acho indispensável. Tenho este controle e tem funcionado perfeitamente. Além de limitar as conexões simultâneas por cliente, faço um bloqueio UDP liberando apenas a porta 53 para pesquisas de DNS. Segue abaixo as regras:
## IP >> Firewall >> Mangle
;;; Marcando Pacotes Sem Limite Conexao
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes
## IP >> Firewall >> Filter
;;; Limitando a 10 conexoes simulaneas por cliente
chain=forward src-address=192.168.10.0/24 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=10,32 action=drop
;;; Dropa UDP <> 53
chain=forward src-address=192.168.10.0/24 protocol=udp dst-port=!53 action=drop
Att.
Gilmar,
Agradeço pelo tópico.
bauer,
Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.
Perguntas:
Essa regra de udp não atrapalha algum outro serviço importante?
Que serviço usa a porta 1863 do tcp?
Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.
lfaria
Radicais? talvez, mas essênciais. Na verdade são bem flexíveis modificando-as conforme necessidade do ambiente.
Com relação a porta TCP 1863, é a porta para conexão do MSN.
Com relação ao UDP, um dos únicos serviços essenciais é a resolução de nomes DNS. As portas UDP's são muito utilizadas por P2P e alguns jogos. Mas, como mencionei acima é simples de você liberar uma porta UDP para um determidado cliente ou como exemplo deixar alguém fora das regras. Fazem 6 meses de implantação das mesmas e até o momento está confiável e sem transtornos.
Vale salientar que com estas regras não precisei dropar o P2P, sendo que foi respeitado o limite máximo no controle de banda, problema este grave com a família warez.
Att.
Rapaziada...
Valeu as dicas, estou implementando em dois pontos para testes, em 48 horas posto o resultado...
se precisarem de algo, que eu possa ser util, estou a disposição.
Mais uma vez agradeço a colaboração.
[]'s Gilmar Balbinot