Muito boa solução Airking. Ficou elegante e funcional. Minhas congratulações!
Espero ver mais scripts seus por ai...
Eu mesmo estava pensando hoje em fazer isso, e procurando no forum encontrei uma resposta bacana e simples. Realmente Parabéns!
Muito boa solução Airking. Ficou elegante e funcional. Minhas congratulações!
Espero ver mais scripts seus por ai...
Eu mesmo estava pensando hoje em fazer isso, e procurando no forum encontrei uma resposta bacana e simples. Realmente Parabéns!
Voce pode criar uma regra de accept para cada ip que voce quer deixar sem limite. Ela deve ficar antes da regra de limite.
Esta questao de bloquear os clientes é complicado, pois precisamos atender eles da melhor forma possivel. Ninguem quer pagar por um serviço que funcione cheio de limitaçoes.
Olá pessoal!
Apliquei as regras do colega e tenho uma dúvida... No mangle ele marca as conexões, mas no meu mk ele não está marcado as conexões da porta 80 e nem da 25, então supostamente se ele não está marcando essas portas, essas portas não estão no controle correto? Uso proxy transparente na porta 3128, inclui essa porta na conexão ''sem limite'', e o mangle só começou a marcar quando mudei para '''chain'' INPUT.
Aguém poderia me dar uma mão e explicar porque não marca a conexão da porta 80 e da 25, o resto como ftp,msn,pop3,etc ele marca.
Abração.
Amigo..
veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....
Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.
Abracos.
Obrigado por sua resposta, mas se eu voltar para foward ele não marcará a conexão da porta 3128, e também não marcará a da porta 80, vamos raciocinar que se não marcar é por que não está funcionando a regra, mas, era para marcar uma das duas correto? Ou a 3128 ou a 80.
Você aplicou essa regra no seu mk? Se sim, ele marcou no mangle os paquetes da 80 ou 3128 em forward?
Abração e obrigado por sua resposta
Camarada, já que vc está on-line fiz uma pergunta no forum e ninguém respondeu ainda, é o seguinte... Qual a finalidade do mangle/ Só marcar, por que se eu usar o jump no firewall filter e mandar que a conexão forward seja avaliada por uma chain que eu criar ( como por exemplo Virus) se eu aplicar o jump e mandar passar toda conexão forward pelo vírus então de que me servirá o mangle?
Compreendeu a pergunta?
Abração.
Olá amigos! Desculpem retornar a este assunto, mas resolvi limitar em 25 conexoes tcp por cliente assim como foi explanado aqui.
O interessante é que fui na aba connections em IP -> Firewall do winbox e lá mostra-me um total de 1600 conexões, sendo que a maioria é de pacotes udp.
Como foi dito por um colega, normalmente o serviço ADSL tem um limite de conexões. Fico na dúvida de como limitar também conexões UDP, pois não parece ser da mesma forma que TCP, pois não tenho a opção limit habilitada para o protocolo UDP.
Aliás! Alguém saberia dizer qual o número de conexões simultâneas permitidas por um serviço ADSL?
Obrigado
Seguinte pessoal, vai uma sugesta!
Fiz aqui assim, marquei todas as conexões simultâneas que passem de 25, submeti essas conexões a identificação de que sejam ou não do tipo p2p, se forem, eu dropo!
Voltando ao assunto, acredito que esta minha regra de limitação de conexões não funcione no meu mikrotip em modo bridge. Explicando, meu mikrotip com tres placas pci athereos em modo ap bridge, estão configuradas em bridge1 e o link é enviado do meu escritório pelo meu servidor, onde daí tenho controle de banda e squid. Reitero, a limitação de conexões funcionaria lá no meu mikrotip em bridge? Porque não parece estar funcionando, pois listo as conexões e tem clientes com muito mais que 25 ou 30 conexões simultâneas de tcp.
Fui tentar fazer o limite de conexões também no meu servidor debian gnu/linux com kernel 2.6.18, mas pelo que li, depois de muito tentar, é que esta versão do kernel não tem suporte a connlimit do iptables.
Grato por enquanto, qualquer coisa atualizo o meu kernel.
Abraços
Estas regras
Funcionaria com o miktoik ap brigte.
Grato
Ola,
Amigo, o seu script realmente está muito bom...
Mas agora estou com problema para fazer uma "Sintonia Fina", por exemplo, estou com clientes que provavelmente estão com virus que enviam email spam, mas o mangle está liberando tudo na porta 25, se eu criar um filtro com o IP do cliente cliente para porta 25 só poder criar digamos 3 conexões simultaneas, não vai ter efeito pq o mangle está liberando antes de ser analizado pelo filtro correto?
Como eu resolvo este problema?
Obrigado.
Bom mano, creio que seja so remover a regra que limite a porta 25, ae ele vai entrar para a regra de limite.
Abraços.
So uma duvida, para liberar 1 ip do limite eu crio um accept com esse ip, mas como faria isso ao certo? Não entendi bem.
É que na empresa sao 4 torres, uma interligada na outra, queria liberar so os ips dos mks para evitar merda.
amigo AirKing, sou iniciante ainda no MK, então espero que não se incomode com perguntas tão básica como as minhas: no casso dessas suas regras o "src-address=192.168.0.0/24" se refere ao endereço da rede do seu link ? no meu caso devo adaptar para os endereços da minha rede externa e interna? ( que aki renomeei para WAN e LAN ).
gostaria de saber se essas regras de bloqueio de conexoes eu coloco direto no ap que utilizo um mk, pois o meu servidor nao é mk se funciona no ap