+ Responder ao Tópico



  1. #1

    Angry To pra ficar locou! me ajudem.

    Pessoal tem um problema no meu MK que é de deixar agente meio lélé da cuca...
    Quando um cliente faz um down e ele fica no vermelho a rede para pra todo mundo ja não sei mais o q fazer.
    mudei de MAC/IP para PPPoE e não adiantou...

    e não é P2P é qualquer down ou video.
    eu uso inet via satelite da ruralweb com 800k e repasso 20k/45k pra cada cliente e mesmo assim tem esse problema.

  2. #2

    Padrão

    Citação Postado originalmente por Skylinelan Ver Post
    Pessoal tem um problema no meu MK que é de deixar agente meio lélé da cuca...
    Quando um cliente faz um down e ele fica no vermelho a rede para pra todo mundo ja não sei mais o q fazer.
    mudei de MAC/IP para PPPoE e não adiantou...

    e não é P2P é qualquer down ou video.
    eu uso inet via satelite da ruralweb com 800k e repasso 20k/45k pra cada cliente e mesmo assim tem esse problema.
    amigo, fala mais sobre sua estrutura, configs no mk etc



  3. #3

    Padrão

    Amigo me passa seu e-mail q eu t mando o meu IP pra vc da uma olhada.

    pode ser???

    desde ja agradeço.

  4. #4

    Padrão

    amigo... esperimenta dar uma olhada ver c vc nao teim nenhuma regra nas queues sem ip, pode estar ai o problema, qualquer coisa entre em contato comigu via mp, ki eu posso tentar te ajuda... vlw



  5. #5

    Padrão

    Citação Postado originalmente por Skylinelan Ver Post
    Pessoal tem um problema no meu MK que é de deixar agente meio lélé da cuca...
    Quando um cliente faz um down e ele fica no vermelho a rede para pra todo mundo ja não sei mais o q fazer.
    mudei de MAC/IP para PPPoE e não adiantou...

    e não é P2P é qualquer down ou video.
    eu uso inet via satelite da ruralweb com 800k e repasso 20k/45k pra cada cliente e mesmo assim tem esse problema.

    amigo, como vc libera somente 45k pra cada cliente qualquer mereqinha de pagina q ele abrir, vai tar usando esses 45k , dai nao vai mesmo, pode ser q nao a poucas informacoes sobre a configuracao, as veses nao esta cadastrado certo, e talz

    mas uma ves tive um problema parecido, fiz um bakup instalei o mkt denovo restaurei e foi nao sei o q era tbem

  6. #6

    Padrão

    gzanata...

    mas quando ele ta apenas navegando pode ficar no vermlho que não tem problema... o negocio é quando o cliente baixa...


    valeu...



  7. #7
    Eng. Eletricista/Eletrôni Avatar de MarceloGOIAS
    Ingresso
    Feb 2007
    Localização
    Goiânia
    Posts
    2.120
    Posts de Blog
    2

    Padrão

    Amigo,
    quais as regras que estão em IP / Firewall? Você está utilizando Web proxy ?

  8. #8

    Padrão

    Olha ai Marcelo... minha regras de firewall e eu uso web proxy

    chain=forward src-address=192.168.1.0/24 protocol=udp src-port=0
    action=drop
    2 chain=forward src-address=192.168.1.0/24 protocol=udp dst-port=0
    action=drop
    3 chain=forward src-address=192.168.1.0/24 protocol=tcp src-port=0
    action=drop
    4 chain=forward src-address=192.168.1.0/24 protocol=tcp dst-port=0
    action=drop
    5 chain=forward src-address=192.168.1.0/24 p2p=warez action=drop
    6 X ;;; CHEQUEAR LINEA A LINEA FALLA WEB-PROXY
    chain=input action=accept
    7 ;;; LIMITANDO A 20 O N MERO DE CONEX ES SIMULT NEAS
    chain=forward src-address=192.168.1.0/24 protocol=tcp tcp-flags=syn
    packet-mark=!semlimite connection-limit=5,32 action=drop
    8 ;;; conex o de forward analizada por virus
    chain=forward src-address=192.168.1.0/24 action=jump jump-target=virus
    9 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=135-139 action=drop
    10 ;;; Drop Messenger Worm
    chain=virus protocol=udp dst-port=135-139 action=drop
    11 ;;; Drop Blaster Worm
    chain=virus protocol=tcp dst-port=445 action=drop
    12 ;;; Drop Blaster Worm
    chain=virus protocol=udp dst-port=445 action=drop
    13 ;;; ________
    chain=virus protocol=tcp dst-port=593 action=drop
    14 ;;; ________
    chain=virus protocol=tcp dst-port=1024-1030 action=drop
    -- [Q quit|D dump|up|down]

    15 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=1080 action=drop
    16 ;;; ________
    chain=virus protocol=tcp dst-port=1214 action=drop
    17 ;;; ndm requester
    chain=virus protocol=tcp dst-port=1363 action=drop
    18 ;;; ndm server
    chain=virus protocol=tcp dst-port=1364 action=drop
    19 ;;; screen cast
    chain=virus protocol=tcp dst-port=1368 action=drop
    20 ;;; hromgrafx
    chain=virus protocol=tcp dst-port=1373 action=drop
    21 ;;; cichlid
    chain=virus protocol=tcp dst-port=1377 action=drop
    22 ;;; Worm
    chain=virus protocol=tcp dst-port=1433-1434 action=drop
    23 ;;; Bagle Virus
    chain=virus protocol=tcp dst-port=2745 action=drop
    24 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=2283 action=drop
    25 ;;; Drop Beagle
    chain=virus protocol=tcp dst-port=2535 action=drop
    26 ;;; Drop Beagle.C-K
    chain=virus protocol=tcp dst-port=2745 action=drop
    27 ;;; Drop MyDoom
    chain=virus protocol=tcp dst-port=3127-3128 action=drop
    28 ;;; Drop Backdoor OptixPro
    chain=virus protocol=tcp dst-port=3410 action=drop
    29 ;;; Worm
    chain=virus protocol=tcp dst-port=4444 action=drop
    30 ;;; Worm
    chain=virus protocol=udp dst-port=4444 action=drop
    31 ;;; Drop Sasser
    chain=virus protocol=tcp dst-port=5554 action=drop
    32 ;;; Drop Beagle.B
    chain=virus protocol=tcp dst-port=8866 action=drop
    33 ;;; Drop Dabber.A-B
    chain=virus protocol=tcp dst-port=9898 action=drop
    34 ;;; Drop Dumaru.Y
    chain=virus protocol=tcp dst-port=10000 action=drop
    35 ;;; Drop MyDoom.B
    chain=virus protocol=tcp dst-port=10080 action=drop
    36 ;;; Drop NetBus
    chain=virus protocol=tcp dst-port=12345 action=drop
    37 ;;; Drop Kuang2
    chain=virus protocol=tcp dst-port=17300 action=drop
    38 ;;; Drop SubSeven
    chain=virus protocol=tcp dst-port=27374 action=drop
    39 ;;; Drop PhatBot, Gaobot
    chain=virus protocol=tcp dst-port=65506 action=drop
    40 ;;; Drop NetBios (REGRAS DE BLOQUEIO DE NETBIOS)
    chain=forward src-address=192.168.1.0/24 protocol=tcp dst-port=445-449
    action=drop
    41 ;;; Drop NetBios
    chain=forward src-address=192.168.1.0/24 protocol=udp dst-port=445-449
    action=drop
    42 ;;; Sanity Check (BLOQUEIO DE POSS VEIS INVAS ES)
    chain=forward action=jump jump-target=sanity-check
    43 ;;; Sanity Check
    chain=input action=jump jump-target=sanity-check
    44 ;;; Deny illegal NAT traversal
    chain=sanity-check packet-mark=nat-traversal action=jump
    jump-target=drop sanyt-check
    45 ;;; Block port scans
    chain=sanity-check protocol=tcp psd=20,3s,3,1
    action=add-src-to-address-list address-list=ether1-addr
    address-list-timeout=10h
    46 ;;; Block TCP Null scan
    chain=sanity-check protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
    action=add-src-to-address-list address-list=ether1-addr
    address-list-timeout=10h
    47 ;;; Block TCP Xmas scan
    chain=sanity-check protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
    action=add-src-to-address-list address-list=ether1-addr
    address-list-timeout=10h
    48 chain=sanity-check protocol=tcp src-address-list=blocked-addr action=jump
    jump-target=drop
    49 ;;; Drop TCP RST
    chain=sanity-check protocol=tcp tcp-flags=rst action=jump
    jump-target=drop sanyt-check
    50 ;;; Drop TCP SYN+FIN
    chain=sanity-check protocol=tcp tcp-flags=fin,syn action=jump
    jump-target=drop sanyt-check
    51 ;;; Dropping invalid connections at once
    chain=sanity-check connection-state=invalid action=jump
    jump-target=drop sanyt-check
    52 ;;; Accepting already established connections
    chain=sanity-check connection-state=established action=accept
    53 ;;; Also accepting related connections
    chain=sanity-check connection-state=related action=accept
    54 ;;; Drop all traffic that goes to multicast or broadcast addresses
    chain=sanity-check src-address=192.168.1.0/24
    dst-address-type=broadcast,multicast action=jump
    jump-target=drop Multicast y broadcast
    55 ;;; Drop everything that goes from ether1 interface but not from ether1 a>
    ess
    chain=sanity-check src-address=192.168.1.0/24
    src-address-list=!ether1-addr action=jump jump-target=drop sanyt-check
    56 ;;; Drop illegal source addresses
    chain=sanity-check src-address=192.168.1.0/24
    src-address-list=illegal-addr action=jump jump-target=drop sanyt-check
    57 ;;; Drop all traffic that goes from multicast or broadcast addresses
    chain=sanity-check src-address=192.168.1.0/24
    src-address-type=broadcast,multicast action=jump
    jump-target=drop sanyt-check
    58 ;;; dropping port scanners -- Esto viene de Sanity Check
    chain=drop sanyt-check src-address-list=ether1-addr action=drop
    59 ;;; Limito a 10 conexiones TCP el P2P (BLOQUEAR A 10 CONEX ES O WAREZ NA >
    TA 80 )
    chain=drop-p2p src-address=192.168.1.0/24 protocol=tcp dst-port=80
    tcp-flags=syn p2p=warez connection-limit=3,32 action=drop
    60 ;;; Bloqueo todo el Multicast y Broadcast
    chain=drop Multicast y broadcast dst-address-type=broadcast,multicast
    action=drop
    61 ;;; Drop SSH
    chain=input connection-mark=ssh action=drop
    62 ;;; BLOQUEIO DE PROXY EXTERNO
    chain=input in-interface=Externa protocol=tcp dst-port=3126 action=drop
    -- [Q quit|D dump|right|up]



  9. #9

    Padrão

    marcelo..

    agora eu limitei os clientes em 5 conexões pra mim v...

    por que eu tenho apenas 64 pro link inteiro.

    valeu...

  10. #10
    Eng. Eletricista/Eletrôni Avatar de MarceloGOIAS
    Ingresso
    Feb 2007
    Localização
    Goiânia
    Posts
    2.120
    Posts de Blog
    2

    Padrão

    Oh louco amigo,

    64K de link???
    Caramba, são regras demais. Vai deixar o seu firewal "doido". Faça um backup de suas configurações e faça uma versão mais enxuta para testes. Limite apenas a quantidade de conexões por cliente ou faça controle de P2P.
    Eu sei bem que esses programas compartilhadores de arquivos detonam qualquer link que não esteja bem configurado, mas desculpe o termo: você está sendo "meio maníaco" com tantas regras. Eu já configurei links de até 34 Mbps cada. Mas sempre tive todo o cuidado possível com regras de firewal. Regras mal aplicadas, duplicadas ou erradas deixam qualquer serviço inoperante ou problemático.
    Última edição por MarceloGOIAS; 22-01-2008 às 12:09.



  11. #11

    Padrão

    Marcelo...

    Olha só meu link é se 800k via sat... quando eu mencionei acima 64 eu mim referia as conexões simultanias...

    Agora marcelo vc poderia mim da uma diga de como deveria ser meu firewall???

    minha rede é muito simple, como eu ja disse uso internet via satellite minha rede uma parte é cabeada e outra é via radio com um AP Zinwell repetindo o sinal.

    estou usando PPPoE...

    meu MK é 2.9.27

  12. #12
    Eng. Eletricista/Eletrôni Avatar de MarceloGOIAS
    Ingresso
    Feb 2007
    Localização
    Goiânia
    Posts
    2.120
    Posts de Blog
    2

    Padrão

    Eu não entendi o que quis dizer com 64.Tem apenas 64 conexões simultâneas para todos que conectarem? Quantos clientes você tem na rede ou provedor?

    De qualquer forma 64 conexões simultâneas para redes acima de 20 clientes conectados não há muito o que fazer. Para começar limite cada cliente para no máximo 6 conexões simultâneas e avise de que se usar algum programa tipo Kazaa e companhia não conseguirá navegar. Limite de 6 conexões simultâneas também cria problemas em páginas de bancos e MSN.



  13. #13

    Padrão

    isso mesmo marcelo, no meu link tenho apenas 64 conexões que eu tenho q dividir pra todos clientes.
    tenho 19 clientes.

  14. #14
    Eng. Eletricista/Eletrôni Avatar de MarceloGOIAS
    Ingresso
    Feb 2007
    Localização
    Goiânia
    Posts
    2.120
    Posts de Blog
    2

    Arrow

    É meu amigo,
    vai ser dureza, mas vamos lá!
    Para continuar usando a internet do jeito que está (800kbps = 64 conexões simultâneas) terá de proibir todo e qualquer P2P. Talvez não vá adiantar muito essa proibição por que cliente é infiel por natureza.
    Então para resolver terá de fechar todas as portas que não sejam padrão para algum serviço essencial e de navegação como MSN, DNS, SMTP, http, https (exemplo 21, 25,53, 80, 443). Embora alguns programas compartilhadores de arquivo usem a porta 80 para "burlar" algum controle vai diminuir em muito a sobrecarga no seu link. Conscientizar a turma aí também ajuda.

    Se você for um provedor comercial não tem remédio: terá de aumentar a banda do seu link e solicitar desbloqueio de limite de conexões; ou seja, está na hora do provedor crescer e contratar uma conexão com a internet "mais" profissional.