Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal! Eu sou novo no sistema mikrotik, estou usando o mikrotik apenas como ap-bridge (bridge em todas as interfaces) anteriormente eu usava um linux chamado BFW + drivers madwifi, estou com duvida em relaçao a limitação de conexões simultaneas, criei as seguintes regras em base das regras que eu usava no bfw (iptables) as regras no mikrotik ficaram assim:

    ip firewall filter print

    0 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1024-1862 action=jump jump-target=CONNLIMIT
    1 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1864-3127 action=jump jump-target=CONNLIMIT
    2 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=3129-5599 action=jump jump-target=CONNLIMIT
    3 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=5601-22333 action=jump jump-target=CONNLIMIT
    4 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=22336-65535 action=jump jump-target=CONNLIMIT
    5 chain=CONNLIMIT protocol=tcp connection-limit=10,32 action=drop
    6 chain=CONNLIMIT protocol=tcp connection-state=related action=accept

    Sendo que as regras no bfw que funciona perfeitamente estao abaixo:

    iptables -N CONNLIMIT
    iptables -F CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:22333 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 22336:65535 -j CONNLIMIT
    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

    As regras que criei para o mikrotik estao corretas? Vão limitar em 10 conexoes excluindo algumas portas cada usuario conectado no mikrotik?


    Antecipadamente Grato!

  2. Limitar conexões por cliente

    Simplérrimo!!
    Acesse o menu IP, FIREWALL

    Na aba "FILTER RULES", crie uma nova regra (botão "+").

    Configure da seguinte forma:
    • CHAIN = FORWARD
    • SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
    • PROTOCOL = 6 (TCP)
    Agora abra a aba "ADVANCED"

    Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
    Abra a aba "EXTRA"

    Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
    No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
    Agora abra a aba "ACTION"
    [Imagem:cliente4.png|500px]]
    EM "ACTION", escolha a opção "DROP".
    Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
    Configure de acordo com sua necessidades
    PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.



  3. Citação Postado originalmente por parreira13 Ver Post
    Limitar conexões por cliente

    Simplérrimo!!
    Acesse o menu IP, FIREWALL

    Na aba "FILTER RULES", crie uma nova regra (botão "+").


    Configure da seguinte forma:
    • CHAIN = FORWARD
    • SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
    • PROTOCOL = 6 (TCP)
    Agora abra a aba "ADVANCED"

    Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
    Abra a aba "EXTRA"

    Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
    No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
    Agora abra a aba "ACTION"
    [Imagem:cliente4.png|500px]]
    EM "ACTION", escolha a opção "DROP".
    Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
    Configure de acordo com sua necessidades
    PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.
    Esta regra em ip firewall filter funciona quando as interfaces estão em bridge?

  4. funciona sim



  5. Claro que nao funciona em bridge... o_O

    Coloca um equipamento todo em BRIDGE, coloca uma regra "/ip firewall add chain=forward action=drop" e ve se conta algum pacote... Te garanto que voce pode ter 100Mbits de trafego passando nessa bridge que nao vai contar 1 pacote sequer nessa regra... Nao vai dropar nada a nao ser que fosse "/interface bridge filter add chain=forward action=drop".

    Os pacotes simplesmente nao passam pela chain forward de FIREWALL porque tem que haver roteamento pra isso... Em modo bridge os pacotes soh vao passar por dentro do forward de BRIDGE... E la nao tem connlimit...

    Pro Thiago, pra voce fazer connlimit, voce vai precisar colocar estas regras apos a bridge, em um MT ou Linux servindo de roteador...

    Em anexo uma demonstracao caso ainda hajam duvidas... Observe as regras de bridge contando pacotes enquanto a regra "/ip firewall add chain=forward action=drop" nao faz absolutamente nada...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         screenshot.jpg
Visualizações:	969
Tamanho: 	214,2 KB
ID:      	3020  
    Última edição por mtrojahn; 10-11-2008 às 12:44.






Tópicos Similares

  1. Dica - Conexões Simultaneas no AirOs
    Por izaufernandes no fórum Redes
    Respostas: 16
    Último Post: 25-07-2013, 19:08
  2. Respostas: 4
    Último Post: 14-09-2008, 00:34
  3. Limitar conexões simultâneas no slackware
    Por rfm no fórum Servidores de Rede
    Respostas: 3
    Último Post: 22-02-2007, 09:34
  4. Método MAXCONN para limitar conexões simultaneas no SQUID
    Por robinsonsilva no fórum Servidores de Rede
    Respostas: 3
    Último Post: 05-10-2006, 15:03
  5. Conexões Simultâneas no Mikrotik!!!
    Por _AGM_ no fórum Redes
    Respostas: 22
    Último Post: 17-07-2006, 09:54

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L