+ Responder ao Tópico



  1. #1

    Padrão Controle de conexões

    Pessoal eu gostaria de implementar controle de conexões em meu mikrotik, só que gostaria que portas como 21, 25, 80 , 110, 443, 1863 não tivessem este controle. Outro detalhe meus clientes tem ips 192.168.1.2, 192.168.2.2, 192.168.3.2...192.168.254.2. Gostaria que cada cliente ficasse limitado a 10 conexões por exemplo!
    Alguém tem isso em funcionamento?

  2. #2

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    Pessoal eu gostaria de implementar controle de conexões em meu mikrotik, só que gostaria que portas como 21, 25, 80 , 110, 443, 1863 não tivessem este controle. Outro detalhe meus clientes tem ips 192.168.1.2, 192.168.2.2, 192.168.3.2...192.168.254.2. Gostaria que cada cliente ficasse limitado a 10 conexões por exemplo!
    Alguém tem isso em funcionamento?
    Olá amigo,
    Dá uma lida neste material.
    Miniaturas de Anexos Miniaturas de Anexos MikroTik - limitar conexões por cliente.pdf  



  3. #3

    Padrão

    Então amigo primeiramente obrigado, mas eu tenho este material já, mas ele limita tambem as portas acima citadas, o que não é legal, além de eu ter que criar uma regra para cada cliente! Alguem tem uma outra solução?

  4. #4

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    Então amigo primeiramente obrigado, mas eu tenho este material já, mas ele limita tambem as portas acima citadas, o que não é legal, além de eu ter que criar uma regra para cada cliente! Alguem tem uma outra solução?
    Você pode colocar as regras para que as portas não entrem no controle acima da que você quer que faça, e você pode tar fazendo o controle de conexões simultaneas para tada a rede (192.168.100.0/24).



  5. #5

    Padrão

    Mas amigo tipo se eu fizer 192.168.0.0/24 eu não estarei limitando toda a rede a apenas 10 conexões?

  6. #6

    Padrão

    Sim,
    Mas lembrando que você pode aumentar o número de conexões simultâneas, e colocar as regras para as portas acima desta.



  7. #7

    Padrão

    Encontrei na net umas regras e fiz algumas alterações e cheguei nas regras abaixo. Gostaria de saber se essas regras conseguiram fazer o que pretendo, limitar cada cliente a 10 conexões com exceções as portas marcadas no mangle.

    ip firewall mangle
    0 chain=forward protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes
    1 chain=forward protocol=tcp dst-port=22 action=mark-packet new-packet-mark=semlimite passthrough=yes
    2 chain=forward protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite passthrough=yes
    3 chain=forward protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite passthrough=yes
    4 chain=forward protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes
    5 chain=forward protocol=tcp dst-port=53 action=mark-packet new-packet-mark=semlimite passthrough=yes
    6 chain=forward protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes
    7 chain=forward protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes
    8 chain=forward protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes
    9 chain=forward protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes
    10 chain=forward protocol=tcp dst-port=6891-6901 action=mark-packet new-packet-mark=semlimite passthrough=yes
    11 chain=forward protocol=tcp dst-port=8080 action=mark-packet new-packet-mark=semlimite passthrough=yes
    ip firewall filter
    0 chain=forward src-address=192.168.1.2 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop

  8. #8

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    Encontrei na net umas regras e fiz algumas alterações e cheguei nas regras abaixo. Gostaria de saber se essas regras conseguiram fazer o que pretendo, limitar cada cliente a 10 conexões com exceções as portas marcadas no mangle.
    Olá amigo,
    Coloque estas regras acima de todas as outras que destina-se a limitar as conexões, e observe o status dela.pacotes bloqueados e tals.
    Aí terá certeza do funcionamento.



  9. #9

    Padrão

    Tendo em vista que possuo varias subnets como disse acima, no caso dessa regra:

    ip firewall filter
    0 chain=forward src-address=192.168.1.2 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop
    Se eu mudar para:

    ip firewall filter
    0 chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop
    Acredito que não precisarei criar uma regra no "filter" para cada ip!

  10. #10

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    Tendo em vista que possuo varias subnets como disse acima, no caso dessa regra:



    Se eu mudar para:



    Acredito que não precisarei criar uma regra no "filter" para cada ip!



    Olá amigo,

    Utilize isto e resolverá o seu problema

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueia conexoes invalidas" \
    connection-state=invalid disabled=no
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1-52 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=54-79 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=81-442 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=444-1862 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1864-3127 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=3129-3388 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=30,32 disabled=no dst-port=3390-5899 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=5901-8079 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=8081-65535 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=accept chain=forward comment="Permite conexoes estabelecidas" \
    connection-state=established disabled=no
    add action=accept chain=forward comment="Permite conexoes relatadas" \
    connection-state=related disabled=no


    nesse caso eu limito a 20 conexoes por porta/ip, "connection-limit=20,32
    e voce escolher quais portas quer limitar em dst-port, por exemplo
    dst-port=135-139
    quer dizer que a regra se aplica as portas 135, 136,137,138,139

    entao voce cria varias regras e escolhe as portas que voce necessita nao bloquear

    Se precisar é só dar um toque.

    Valeu



  11. #11

    Padrão

    Amigo muito obrigado!
    Valeu pela força de todos!
    Última edição por Meiobit; 21-06-2008 às 13:54.

  12. #12

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    ...

    ip firewall filter add chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop

    Acredito que não precisarei criar uma regra no "filter" para cada ip!
    Isto mesmo, ao usar esta regra, você estará informando que a rede passará por filter.