Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #7

    Padrão

    Encontrei na net umas regras e fiz algumas alterações e cheguei nas regras abaixo. Gostaria de saber se essas regras conseguiram fazer o que pretendo, limitar cada cliente a 10 conexões com exceções as portas marcadas no mangle.

    ip firewall mangle
    0 chain=forward protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes
    1 chain=forward protocol=tcp dst-port=22 action=mark-packet new-packet-mark=semlimite passthrough=yes
    2 chain=forward protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite passthrough=yes
    3 chain=forward protocol=tcp dst-port=23 action=mark-packet new-packet-mark=semlimite passthrough=yes
    4 chain=forward protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes
    5 chain=forward protocol=tcp dst-port=53 action=mark-packet new-packet-mark=semlimite passthrough=yes
    6 chain=forward protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes
    7 chain=forward protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes
    8 chain=forward protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes
    9 chain=forward protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes
    10 chain=forward protocol=tcp dst-port=6891-6901 action=mark-packet new-packet-mark=semlimite passthrough=yes
    11 chain=forward protocol=tcp dst-port=8080 action=mark-packet new-packet-mark=semlimite passthrough=yes
    ip firewall filter
    0 chain=forward src-address=192.168.1.2 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop

  2. #8

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    Encontrei na net umas regras e fiz algumas alterações e cheguei nas regras abaixo. Gostaria de saber se essas regras conseguiram fazer o que pretendo, limitar cada cliente a 10 conexões com exceções as portas marcadas no mangle.
    Olá amigo,
    Coloque estas regras acima de todas as outras que destina-se a limitar as conexões, e observe o status dela.pacotes bloqueados e tals.
    Aí terá certeza do funcionamento.



  3. #9

    Padrão

    Tendo em vista que possuo varias subnets como disse acima, no caso dessa regra:

    ip firewall filter
    0 chain=forward src-address=192.168.1.2 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop
    Se eu mudar para:

    ip firewall filter
    0 chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop
    Acredito que não precisarei criar uma regra no "filter" para cada ip!

  4. #10

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    Tendo em vista que possuo varias subnets como disse acima, no caso dessa regra:



    Se eu mudar para:



    Acredito que não precisarei criar uma regra no "filter" para cada ip!



    Olá amigo,

    Utilize isto e resolverá o seu problema

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueia conexoes invalidas" \
    connection-state=invalid disabled=no
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1-52 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=54-79 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=81-442 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=444-1862 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=1864-3127 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=3129-3388 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=30,32 disabled=no dst-port=3390-5899 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=5901-8079 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=drop chain=forward comment="Limite de Conexoes Simultaneas" \
    connection-limit=20,32 disabled=no dst-port=8081-65535 protocol=tcp \
    src-address-list=!sem-limite-conn tcp-flags=syn
    add action=accept chain=forward comment="Permite conexoes estabelecidas" \
    connection-state=established disabled=no
    add action=accept chain=forward comment="Permite conexoes relatadas" \
    connection-state=related disabled=no


    nesse caso eu limito a 20 conexoes por porta/ip, "connection-limit=20,32
    e voce escolher quais portas quer limitar em dst-port, por exemplo
    dst-port=135-139
    quer dizer que a regra se aplica as portas 135, 136,137,138,139

    entao voce cria varias regras e escolhe as portas que voce necessita nao bloquear

    Se precisar é só dar um toque.

    Valeu



  5. #11

    Padrão

    Amigo muito obrigado!
    Valeu pela força de todos!
    Última edição por Meiobit; 21-06-2008 às 12:54.

  6. #12

    Padrão

    Citação Postado originalmente por Meiobit Ver Post
    ...

    ip firewall filter add chain=forward src-address=192.168.0.0/16 protocol=tcp tcp-flags=syn packet-mark=!semlimite
    connection-limit=10,32 action=drop

    Acredito que não precisarei criar uma regra no "filter" para cada ip!
    Isto mesmo, ao usar esta regra, você estará informando que a rede passará por filter.