Olá pessoal! Eu sou novo no sistema mikrotik, estou usando o mikrotik apenas como ap-bridge (bridge em todas as interfaces) anteriormente eu usava um linux chamado BFW + drivers madwifi, estou com duvida em relaçao a limitação de conexões simultaneas, criei as seguintes regras em base das regras que eu usava no bfw (iptables) as regras no mikrotik ficaram assim:
ip firewall filter print
0 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1024-1862 action=jump jump-target=CONNLIMIT
1 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1864-3127 action=jump jump-target=CONNLIMIT
2 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=3129-5599 action=jump jump-target=CONNLIMIT
3 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=5601-22333 action=jump jump-target=CONNLIMIT
4 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=22336-65535 action=jump jump-target=CONNLIMIT
5 chain=CONNLIMIT protocol=tcp connection-limit=10,32 action=drop
6 chain=CONNLIMIT protocol=tcp connection-state=related action=accept
Sendo que as regras no bfw que funciona perfeitamente estao abaixo:
iptables -N CONNLIMIT
iptables -F CONNLIMIT
iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT
iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT
iptables -A FORWARD -p TCP -d 0/0 --dport 5601:22333 -j CONNLIMIT
iptables -A FORWARD -p TCP -d 0/0 --dport 22336:65535 -j CONNLIMIT
iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP
As regras que criei para o mikrotik estao corretas? Vão limitar em 10 conexoes excluindo algumas portas cada usuario conectado no mikrotik?
Antecipadamente Grato!
-
10-09-2008, 10:56 #1
- Ingresso
- Nov 2006
- Posts
- 38
limitando conexoes simultaneas no mikrotik "bridge"
-
21-09-2008, 11:42 #2
- Ingresso
- May 2007
- Posts
- 338
Limitar conexões por cliente
Simplérrimo!!
Acesse o menu IP, FIREWALL
Na aba "FILTER RULES", crie uma nova regra (botão "+").
Configure da seguinte forma:
- CHAIN = FORWARD
- SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
- PROTOCOL = 6 (TCP)
Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
Abra a aba "EXTRA"
Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
Agora abra a aba "ACTION"
[Imagem:cliente4.png|500px]]
EM "ACTION", escolha a opção "DROP".
Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
Configure de acordo com sua necessidades
PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.
-
10-11-2008, 11:02 #3
- Ingresso
- Jan 2006
- Posts
- 84
Esta regra em ip firewall filter funciona quando as interfaces estão em bridge?
Postado originalmente por parreira13
-
10-11-2008, 11:24 #4
- Ingresso
- May 2007
- Posts
- 338
funciona sim
-
10-11-2008, 13:35 #5
- Ingresso
- Oct 2007
- Posts
- 247
Claro que nao funciona em bridge... o_O
Coloca um equipamento todo em BRIDGE, coloca uma regra "/ip firewall add chain=forward action=drop" e ve se conta algum pacote... Te garanto que voce pode ter 100Mbits de trafego passando nessa bridge que nao vai contar 1 pacote sequer nessa regra... Nao vai dropar nada a nao ser que fosse "/interface bridge filter add chain=forward action=drop".
Os pacotes simplesmente nao passam pela chain forward de FIREWALL porque tem que haver roteamento pra isso... Em modo bridge os pacotes soh vao passar por dentro do forward de BRIDGE... E la nao tem connlimit...
Pro Thiago, pra voce fazer connlimit, voce vai precisar colocar estas regras apos a bridge, em um MT ou Linux servindo de roteador...
Em anexo uma demonstracao caso ainda hajam duvidas... Observe as regras de bridge contando pacotes enquanto a regra "/ip firewall add chain=forward action=drop" nao faz absolutamente nada...Última edição por mtrojahn; 10-11-2008 às 13:44.
-
17-11-2008, 15:43 #6
- Ingresso
- Jan 2006
- Posts
- 84
Estou com problemas com o firewal pois a estação que recebe os clientes esta em bridge e nao possui processamento para alem de receber 100 clientes sem fio ainda ser firewall, então gostaria de fazer isso na maqui na daki que recebe a internet, pois ela tem 2000 de processamento, mas o firewal nao pega legal pq ela esta atuando com HOTSPOT.
Eu tenho um PC (HOTSPOT) onde entra a internet, um RB433 (bridge) que joga pra um RB333 (bridge) que recebe 100 clientes.
Nao posso colocar firewall nas RB´S, certo? e como eu faço pra colocar neste PC se ele esta com hotspot que logo de inicio no firewall ja corta toda minha onda, os clientes com virus estao de mais, com poucos online minha net ja ta indo pro espaço, daki a poko eu vo ta voltando como o PC la em cima no predio com 1400 de processador no lugar da rb, pq qd fazio assim, la em cima era firewall (sem bridge) e ja cortava os virus por la mesmo.
ME AJUDEM
-
17-11-2008, 16:06 #7
- Ingresso
- May 2007
- Posts
- 2.194
Funciona em Bridge sim, pois uso ela, e ainda faço log pra ver se esta tudo ok.
Ta ai na imagem enexada!Última edição por rogeriodj; 17-11-2008 às 16:14.
-
17-11-2008, 16:25 #8
- Ingresso
- Oct 2007
- Posts
- 247
Pra complementar entao manda um IP / ROUTES entao...
Desculpa mas isso que voce ta dizendo vai contra qualquer coisa de rede que eu conheco... Sao conceitos bem simples, conexoes TCP nao existem em ambientes camada 2... Isto nao ha o que discutir... Se voce esta conseguindo fazer isto eu diria que tem algo muito estranho acontecendo ai...
Outra, um exemplo de IP / FIREWALL / NAT tambem iria bem...
-
17-11-2008, 19:55 #9
- Ingresso
- May 2007
- Posts
- 2.194
Ta ai o print do meu nat e routes.
-
24-11-2008, 22:07 #10
cara eu tbm estou conseguindo fazer em bridge.. como nosso amigo..
como pode nao sei.. mas esta funcionando!! srsr
-
01-12-2008, 00:45 #11
- Ingresso
- Apr 2006
- Posts
- 4
Controle de conexoes simultaneas no free bsd
Fiz essas regras no miktrotik e esta cheio de bola, mas e o free bsd como fadco para colocar, alguem sabe me ajudar?
Marcus
A - NetMail :: Provedor de Internet - Loja de Informatica / MG
meu email: [email protected]
-
01-12-2008, 00:59 #12
- Ingresso
- Apr 2006
- Posts
- 4
Gosta de saber como colocar essas regras de limite de conexao, pois coloquei no mikrotik e ficou muio tom?
agora alguem sabe me ajudar...
-
01-12-2008, 02:16 #13Moderador
- Ingresso
- Aug 2002
- Localização
- SC
- Posts
- 1.160
Depois de ativar o ipfw em modo bridge, é simples. Postado originalmente por marcus_bastos
ipfw add allow tcp from 192.168.1.0/24 to any setup limit src-addr 10 layer2
Para ativar o ipfw em camada2, digite:
sysctl net.link.ether.ipfw=1
-
01-12-2008, 03:13 #14
- Ingresso
- Apr 2006
- Posts
- 4
free bsd com limite de conexao
So isso que precisa de regras no free bsd?
-
16-12-2008, 18:05 #15
- Ingresso
- Oct 2005
- Localização
- SJRP/SP
- Posts
- 581
Postado originalmente por mtrojahn
Na versão 2.9.x funciona sim em modo bridge, agora na versão 3.x não ta funcionando em modo bridge.
Alguem sabe porque ?
-
27-12-2008, 00:17 #16
- Ingresso
- May 2005
- Posts
- 359
Pessoal, alguém sabe informar como fazer bloqueio de conexões simultaneas com mk ap em modo bridger? Eu usava aqui na versão 2.9.x mas agora na versão 3.x nada de funciona.
-
27-12-2008, 01:13 #17
como faz para aparecer esses detalhes no mk?
-
27-12-2008, 08:29 #18
- Ingresso
- Oct 2008
- Posts
- 186
É bem simples, Postado originalmente por FernandodeDeus
Clica com o botão direito na parte superior do Mikrotik e seleciona as opções desejaveis.
Citação