+ Responder ao Tópico



  1. #1

    Padrão limitando conexoes simultaneas no mikrotik "bridge"

    Olá pessoal! Eu sou novo no sistema mikrotik, estou usando o mikrotik apenas como ap-bridge (bridge em todas as interfaces) anteriormente eu usava um linux chamado BFW + drivers madwifi, estou com duvida em relaçao a limitação de conexões simultaneas, criei as seguintes regras em base das regras que eu usava no bfw (iptables) as regras no mikrotik ficaram assim:

    ip firewall filter print

    0 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1024-1862 action=jump jump-target=CONNLIMIT
    1 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1864-3127 action=jump jump-target=CONNLIMIT
    2 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=3129-5599 action=jump jump-target=CONNLIMIT
    3 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=5601-22333 action=jump jump-target=CONNLIMIT
    4 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=22336-65535 action=jump jump-target=CONNLIMIT
    5 chain=CONNLIMIT protocol=tcp connection-limit=10,32 action=drop
    6 chain=CONNLIMIT protocol=tcp connection-state=related action=accept

    Sendo que as regras no bfw que funciona perfeitamente estao abaixo:

    iptables -N CONNLIMIT
    iptables -F CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:22333 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 22336:65535 -j CONNLIMIT
    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

    As regras que criei para o mikrotik estao corretas? Vão limitar em 10 conexoes excluindo algumas portas cada usuario conectado no mikrotik?


    Antecipadamente Grato!

  2. #2

    Padrão

    Para saber se suas regras estão funcionando, você deve observar os dados trafegados, pacotes dropados e tals. Isto pelo proprio winbox.
    Submenu: /ip firewall filter

  3. #3

    Padrão

    OK! Vou colocar as regras em um mk que esta em cima da torre para ver oq vai dar!!

    Grato!

  4. #4
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.412
    Posts de Blog
    10

    Padrão Limite de Conexão

    Esperimenta assim:

    Código :
    chain=forward protocol=tcp dst-port=1024-1862 src-address-list= ! free_conn tcp-flags= syn connection-limit: limit=30 netmask=32 action=drop

    Esperimenta essa regra em firewall, e não se esqueça de criar em ip firewall address list o ip de quem não deve passar pelo controle de conexões e coloque o nome de free_conn.

    Caso resolva seu problema por favor agradeça.

  5. #5

    Padrão

    Citação Postado originalmente por minelli Ver Post
    Esperimenta assim:

    Código :
    chain=forward protocol=tcp dst-port=1024-1862 src-address-list= ! free_conn tcp-flags= syn connection-limit: limit=30 netmask=32 action=drop

    Esperimenta essa regra em firewall, e não se esqueça de criar em ip firewall address list o ip de quem não deve passar pelo controle de conexões e coloque o nome de free_conn.

    Caso resolva seu problema por favor agradeça.

    Opa!!! agradeço sua sugestão mas gostaria de limitar usando um jump, para limitar varias portas distintas com as mesmas condições, fiz alguns testes e do jeito que postei parece que funcionou, logico que pode ser melhorado, agora vo por a lista como vc disse vo melhorando um poko esse controle.

    e so pra finalizar estou gostando muito do mikrotik, faz uma semana que comecei a lidar com ele.. e ja tenho ele em trez torres funcionando redondo com controle de conexões, firewall bridge, scripts automatico de controle de banda e varias coisas que eu fazia em linux puro.

    Obrigado pela dica!!