+ Responder ao Tópico



  1. #1

    Padrão Limitar conexões no Mikrotik em determinadas portas.

    O controle de conexões do mikrotik que tem no wiki, limita todas as portas e com isso causa problemas na navegação, msn, etc.

    Queria bloquear como é feito em linux com o connlimit, bloqueio faixas de portas deixando algumas portas sem bloqueio.

    E se tem como fazer para não bloquear pacotes que forem de retorno, ou seja, se você acessa um site (na porta 80), quando ele mandar uma resposta pra você, ele vai responder nas portas altas (acima de 1024), então, como essa conexão é uma conexão de retorno, não queria que ela fosse dropada, evitando problemas na navegação


    Alguem usa em provedor o mikrotik com limite de conexão de forma funcional para navegações, msn, bancos, etc.

    Se positivo e puder descrever as configurações ficaremos muito gratos.

    Pois acho que esta duvida não servirá somente para mim.

    Obrigado.
    Última edição por ShadowRed; 29-01-2008 às 21:00.

  2. #2

    Padrão

    cara...

    é simples, basta você criar uma regra, antes da regra de limite de conexões, com a porta que você não quer que seja limitada e action accept.

    e sobre as conexões de retorno, basta fazer o mesmo que o anterior , mas o estado do pacote RELATED...

  3. #3

    Padrão

    Citação Postado originalmente por lucianogf Ver Post
    cara...

    é simples, basta você criar uma regra, antes da regra de limite de conexões, com a porta que você não quer que seja limitada e action accept.

    e sobre as conexões de retorno, basta fazer o mesmo que o anterior , mas o estado do pacote RELATED...

    lucianogf estou com a mesma duvida do amigo ai. Como crio as regras que voce citou, sou novo em mikrotik e uso o winbox para configurações.

    Onde coloco as regras para deixar as portas sem limite exemplo: 25, 53, 80, 110, 443, msn.

    E onde coloco a opção para usar RELATED.

    Agradeço a ajuda de voce. E desculpe pelas perguntas é que estou com essas duvidas tambem.

  4. #4

    Padrão

    Citação Postado originalmente por easyBSD Ver Post
    Onde coloco as regras para deixar as portas sem limite exemplo: 25, 53, 80, 110, 443, msn.
    como respondi anteriormente, vai colocar antes das regras de limitação.

    E onde coloco a opção para usar RELATED.
    RELATED é um estado do pacote, vai encontrá-la em "state".

    estas regras são da tabela filter e da chain FORWARD.

  5. #5

    Padrão É desta forma ?

    Citação Postado originalmente por lucianogf Ver Post
    como respondi anteriormente, vai colocar antes das regras de limitação.



    RELATED é um estado do pacote, vai encontrá-la em "state".

    estas regras são da tabela filter e da chain FORWARD.
    Ficaria assim então ?

    Liberar portas de 25 a 1024 que não vão sofrer limites de conexões.

    IP -> FIREWALL

    CHAIN = FORWARD
    SRC.ADDRESS = 192.169.3.2
    PROTOCOL = 6 TCP
    SRC.PORT = 25-1024
    DST.PORT = 25-1024

    ADVANCED

    TCP FLAGS = SYN

    ACTION

    ACTION = ACCEPT

    Liberar portas de 25 a 1024 com a opção RELATED.

    IP -> FIREWALL

    CHAIN = FORWARD
    SRC.ADDRESS = 192.169.3.2
    PROTOCOL = 6 TCP
    SRC.PORT = 25-1024
    DST.PORT = 25-1024
    CONNECTION.STATE = RELATED

    ADVANCED

    TCP FLAGS = SYN

    ACTION

    ACTION = ACCEPT

    Limitar o resto das portas a 15 conexões simultâneas.

    IP -> FIREWALL

    CHAIN = FORWARD
    SRC.ADDRESS = 192.169.3.2
    PROTOCOL = 6 TCP

    ADVANCED

    TCP FLAGS = SYN
    EXTRA

    CONNECTION LIMIT
    LIMIT = 20
    NETMASK = 32

    ACTION

    ACTION = DROP

    No caso teria que liberar IP por IP depois limitar IP por IP ? Tendo em vista que esta sendo usado ip aliases 192.168.3.2/30 - 192.168.4.2/30, etc.


    Estou no caminho certo ? Outra coisa como posso indicar as portas sem usar faixas ? seria assim:

    25,53,80,110,443,1863,5190 ?

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Isto abaixo deve dar uma luz:

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueia conexoes invalidas" \
    connection-state=invalid disabled=no
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1-52 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=54-79 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=81-442 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=444-1862 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1864-3127 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=3129-3388 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=30,32 disabled=no dst-port=3390-5899 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=5901-8079 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=8081-65535 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=accept chain=forward comment="Permite conexoes estabelecidas" \
    connection-state=established disabled=no
    add action=accept chain=forward comment="Permite conexoes relatadas" \
    connection-state=related disabled=no

  7. #7

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Isto abaixo deve dar uma luz:

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueia conexoes invalidas" \
    connection-state=invalid disabled=no
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1-52 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=54-79 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=81-442 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=444-1862 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1864-3127 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=3129-3388 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=30,32 disabled=no dst-port=3390-5899 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=5901-8079 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=8081-65535 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=accept chain=forward comment="Permite conexoes estabelecidas" \
    connection-state=established disabled=no
    add action=accept chain=forward comment="Permite conexoes relatadas" \
    connection-state=related disabled=no
    Muito obrigado pela luz no fim do tuneo. neste caso a regra se aplica a qualquer tipo de IP que passar pelo ap bridge mikrotik ?

    Abraço.

  8. #8

    Padrão

    com excessao dos que estiverem na lista sem limite, Percebesse?

    Parabens Sérgio, deu a Receita do Bolo, inteirinho.

  9. #9
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por jhonnyp Ver Post
    com excessao dos que estiverem na lista sem limite, Percebesse?

    Parabens Sérgio, deu a Receita do Bolo, inteirinho.

    Agora é só comer...

    Analisem as regras, por favor. E nada de ctrl+c ctrl+v. Uma coisa é uma coisa e outra coisa é outra coisa. Este cenário que postei não se adequa a todas topologias, serve de base, mas em outros ambientes devem ser analisados com critério antes de aplicar.

  10. #10

    Padrão

    hehehe

    primeiro vem o ctrl+c/ctrl+v, se não funcionar que vem a análise..

  11. #11

    Padrão

    Citação Postado originalmente por jhonnyp Ver Post
    com excessao dos que estiverem na lista sem limite, Percebesse?

    Parabens Sérgio, deu a Receita do Bolo, inteirinho.
    Onde especifico os ips q ficarao "sem limite de conexão"?
    Vlw

  12. #12
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão

    Citação Postado originalmente por froyer Ver Post
    Onde especifico os ips q ficarao "sem limite de conexão"?
    Vlw

    Rapaz, mas não lestes as regras??? em src-address-list, que quer dizer que vem de uma address-list, criada lá naquela opção chamada Address-List.

  13. #13

    Padrão

    Citação Postado originalmente por sergio Ver Post
    Rapaz, mas não lestes as regras??? em src-address-list, que quer dizer que vem de uma address-list, criada lá naquela opção chamada Address-List.
    Como fica o tcp state quando a porta foi bloqueada. Estou usando as regras que voce informou mas o numero de conexão não diminuiu ta ficando em media 980 entries com 4 usuarios on-line, e no state só tem established, time wait e close.

    É normal ?