+ Responder ao Tópico



  1. #1

    Padrão Bloqueie 100% dos p2p e conexões que acabam com o link

    Pessoal, consegui solucionar o problema de tráfego no meu provedor, economizando muita banda, temos 4 mb no provedor um mikrotik fazendo Proxy e controle de banda e mais algumas regras de nat, a média diária de uso era de 85%, tornando a navegação impossivel em alguns horários, dae tomei medidas drásticas para diminuir o fluxo de trafego, bloqueie todas as portas TCP da 10000 até 65535 e tb todas as UDP exceto a 53 e algumas outras necessárias para terminais de bancos, liberando apenas depois das 22h até as 7 da manha. Atualmente a média de uso do link está em 43% a navegação eh perfeita o dia todo, isso tudo não afetou em nada os principais serviços do provedor.

  2. #2
    Mikrotik inSide Avatar de luizbe
    Ingresso
    Sep 2005
    Localização
    Governador Valadares
    Posts
    1.212
    Posts de Blog
    1

    Padrão

    invez de bloquear isso, não seria melhor você "limitar" essas conexões?
    por exemplo você bloqueou Webcam , Jogos online, Alguns P2P, por exemplo o emule usa as portas 4443 ;]

    ou seja, você tirou alguns serviços da sua rede.


    aconselharia a você fazer o seguinte:
    "pesquisar" com seus clientes o que eles fazem, da um bloqueio da porta 0 a 65535 e depois ir colocando regras pra aceitar somente a que eles usam..

    mas se você fosse o meu provedor, já teria te enviado uma carta com esses problemas ou teria reclamado pessoalmente, se você não resolvesse,
    entraria a concorrencia ;]

    cada caso é um caso, mas , acho legal você da uma assistencia extra nos seus clientes quanto a esse caso


  3. #3

    Padrão

    Caro luiz... entendo vc... limitar conexões tudo isso ja fiz, controle de banda tb, porem como são muito clientes... muitos mesmo.. mais de 900 adotamos essa política, é melhor atender bem os clientes que usam a net mais para navegação e coisas de trabalho do q o cliente gastador de banda q liga o pc e já conecta uns 3.215.054 programas de downloads, pelo menos até a querida Brt não aumente nosso link para 8 mbits.
    Webcams não estão bloqueadas, e até agora ninguem manifestou dificuldades com jogos online, só melhoras, a intenção era mesmo bloquear os p2p durande o dia e parte da noite.
    Uma coisa que estava gastando muita banda eram as conexões p2p via ip tunel, sugava muito do link, isso escapa de qualquer limitador.
    Última edição por fernandoborille; 30-03-2008 às 22:44.

  4. #4

    Padrão

    vc podeira disponibilizar essas configurações valiosas pra gente?
    valew

  5. #5

    Padrão

    mas vai dar problema mesmo, aqui tambem ta tudo que e udp bloqueada menos a 53, e nao funciona jogos online, p2p so o limewire em algums lugares outros nao, e Voi`p nao funciona tambem, nesta semana ampliarei o link para liberar tudo novamente, ainda nao li nada mas teoricamente a verçao 3.0 e superiores resolveriâo o problema com p2p encriptado, se alguem ja testou posta ai por favor os resultados..

  6. #6

    Padrão

    é amigo posta umas soluçoes desses bloqueio de portas ai pra gente.

  7. #7
    Avatar de evil_inside
    Ingresso
    Aug 2004
    Localização
    Bagé, Rio Grande do Sul, Brazil, Brazil
    Posts
    275

    Padrão

    se eu faço isso aqui meus clientes enlouquecem sem poder baixar musica, o que eu fiz foi limitar a banda p/ essas portas, daí baixa mais lento mais baixa

  8. #8

    Padrão

    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.

  9. #9

    Padrão

    Citação Postado originalmente por evil_inside Ver Post
    se eu faço isso aqui meus clientes enlouquecem sem poder baixar musica, o que eu fiz foi limitar a banda p/ essas portas, daí baixa mais lento mais baixa
    Boa kra, é isso q eu tava procurando. Voce poderia postar um tutorialzinho de como fazer essa limitação de banda ???

    Desde já agradeço.

  10. #10

    Padrão

    Bom na minha singela opnião isso é falta de um bom firewall... Lembre-se o firewall serve para NEGAR TUDO e só deixar passar o que é necessário. Desta forma, a estrutura básica do firewall, seria a AUTORIZAÇÃO dos serviços válidos e no final NEGAR TODO O RESTANTE... Quero ver que P2P ou coisas do tipo, sobrevivem a isso...... rsssssssssss

  11. #11

    Padrão

    Prezado catvbrasil

    Justamente eh isso que está sendo feito, bloquear tudo e deixar passar só o que interessa!

    Nenhum p2p conecta fora do horário determinado.

  12. #12

    Padrão

    Amigão, dsclpe a minha pergunta pois sou leigo ainda, mas estas regras se aplicam onde dentro do MK? na Nat, no Mangle onde eu as ponho.


    Citação Postado originalmente por fernandoborille Ver Post
    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.

  13. #13

    Padrão

    Citação Postado originalmente por fernandoborille Ver Post
    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.

    Bom, quero dar a minha opinião, se for de encontro a alguns que me perdoem,mas, acho que não é bem assim:

    O que seria considerado portas altas em TCP? Seriam portas acima da 10000, então o colega ainda bloqueou portas baixas (na minha opinião).

    Ao fazer esse tipo de bloqueio ele diminuirá sim drasticamente o consumo de banda da rede dele, mas, também em contra partida, vários serviços pararão de funcionar com essas regras, vou comentar...

    As poprtas UDP acima da 1024 são consideradas portas altas, e na maioria das vezes são usadas por vírus, e softwares que usam o protocolo P2P, bloquear as portas é válido, mas dessa forma quando o cliente for usar VOIP'S como (skype, lig, e outros) com certeza não irão funcionar, pois os mesmos precisam de portas altas UDP para fazer a sua conexão, alguns jogos on-line (e seriam muitos) também parariam de funcionar, por que também precisam de portas altas, então fazer o bloqueio assim para toda a rede eu não acho justo com as pessoas que navegam normalmente sem usar a conexão para downloads cada vez maiores.

    Quanto ao bloqueio da porta ( 0 ) TCU e UDP isso sim é válido para todos por que assim evitamos que a conexão criptografada do WAREZ e seus semelhantes se estabeleçam causando assim um furo no controle de banda da rede.

    Esse bloqueio de portas altas TCP e UDP deve sim ser feito mas para cada ip que começe a estrapolar a conexão, não é justo aplicar isso a toda a rede.

    Uma das principais coisas que deve ser feita em uma rede é o bloqueio de todo o trafego desnecessário NO CLIENTE, vou comentar...

    Um pouco sobre NAT e controle de banda:
    Normalmente o controle de banda em um provedor de acesso Wireless é feito no servidor que usa regras estáticas para descartar os pacotes até que se atinja a velocidade pretendida. Isso acarreta um sério problema já que os pacotes saem do cliente, via equipamento de rádio, passam pelo POP principal (AP) e chegam ao provedor para só então fazer o controle de banda com descarte de pacotes. Note que os pacotes continuam a passar pelo POP principal, fazendo com ele trabalhe mais, e sem necessidade, já que os pacotes serão descartados somente no Servidor. Se a máquina do cliente estiver contaminada com certos vírus ou softwares P2P (Emule, Edonkey, Kazaa, Torrent, etc), que enviam grandes requisições de pacotes UDP ou TCP, o problema será maior ainda, chegando ao ponto de um só cliente derrubar o POP como um todo. Sniffers de rede, como o Iptraf e o tdpdump, também não serão de grande valia, já que o POP estará tão congestionado que as informações chegarão (se chegarem) totalmente truncadas dificultando a descoberta do problema.
    Com isso os ''técnicos'' tentarão trocar equipamentos, cabos, conectores, antenas, gastarão muito dinheiro, sendo o problema ocasionado, muitas vezes, por um só cliente. Assim é IMPRESCINDÍVEL que o controle seja feito no cliente, antes que os pacotes subam para o POP, fazendo com que o AP principal trabalhe muito mais solto, já que ele repassará somente o tráfego necessário. Controlando, também, a banda de upload evita que grandes requisições de pacotes, comprometam o desempenho do POP.
    Fazendo NAT também no cliente, (sempre que possível) teremos a certeza que eles não se enxergarão e possibilitando fazer regras de firewall protegendo a sua rede e tornando o serviço mais profissional.

    ESPERO QUE COMPREENDAM A MENSAGEM, muitas vezes o problema é de como a sua rede está configurada, desde a placa de rede instalada no PC do seu cliente até o modem de sua conexão.

    Aproveitem que hoje estou bomzinho para repassar essas dicas, e a quem conseguir assimilar o que está dito aqui, conseguirá colocar a sua rede e a conexão dos seus clientes em um nível muito superior ao que é, e a dos seus concorrentes.
    Última edição por Roberto21; 01-04-2008 às 22:28.

  14. #14

    Padrão

    Citação Postado originalmente por fernandoborille Ver Post
    As Regras que usei:

    ;;; BLOQUEIO DE PORTAS ALTAS
    chain=forward protocol=tcp dst-port=9300-65535 action=drop

    ;;; BLOQUEIO DE PORTAS UDP
    chain=forward protocol=udp dst-port=0-52 action=drop
    chain=forward protocol=udp dst-port=54-499 action=drop
    chain=forward protocol=udp dst-port=501-9999 action=drop
    chain=forward protocol=udp dst-port=10001-65535 action=drop

    ;;; BLOQUEIO GERAL P2P
    chain=forward p2p=all-p2p action=drop
    chain=forward protocol=udp dst-port=0 action=drop
    chain=forward protocol=tcp dst-port=0 action=drop

    Lembrando que isso se adapta a minha estrutura cada um possui a sua, no caso das portas udp, precisei deixar a 500 e a 10000 liberadas, por isso a necessidade das 4 regras, onde a porta 53, 500 e 10000 fical livres. Quanto as portas altas, a maioria dos p2p trafegam por essas portas se elas ficarem bloqueadas não tem boa pra eles. Uma coisa importante, depois que o p2p conecta o MK não bloqueia, se isso acontecer eh so derubar o link por alguns minutos para todas as conexões cairem depois elas nao voltam mais.
    Amigo de nada adinata somente travar as portas em forward...

    Saiba que são 3 canais nativos:

    Forward - Pacotes que passam pelo roteador (exemplo: trafego entre pcs na rede, tráfego direcionado a serviços como web-proxy, etc)
    Input - Pacotes que chegam da internet para o roteador (estes são os piores)
    Output - Pacotes que saem para internet (estes não representam pouco/nenhum perigo)

    Suas regras são excelentes, porém ao meu ponto de vista incompletas... Ainda não usaria elas no meu provedor....

  15. #15

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Amigo de nada adinata somente travar as portas em forward...

    Saiba que são 3 canais nativos:

    Forward - Pacotes que passam pelo roteador (exemplo: trafego entre pcs na rede, tráfego direcionado a serviços como web-proxy, etc)
    Input - Pacotes que chegam da internet para o roteador (estes são os piores)
    Output - Pacotes que saem para internet (estes não representam pouco/nenhum perigo)

    Suas regras são excelentes, porém ao meu ponto de vista incompletas... Ainda não usaria elas no meu provedor....
    ----------------------------------------------------------------

    Tenho mais algumas regras para adicionar, porém apenas com estas grande parte do problema ja foi solucionado.