Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão limitando conexoes simultaneas no mikrotik "bridge"

    Olá pessoal! Eu sou novo no sistema mikrotik, estou usando o mikrotik apenas como ap-bridge (bridge em todas as interfaces) anteriormente eu usava um linux chamado BFW + drivers madwifi, estou com duvida em relaçao a limitação de conexões simultaneas, criei as seguintes regras em base das regras que eu usava no bfw (iptables) as regras no mikrotik ficaram assim:

    ip firewall filter print

    0 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1024-1862 action=jump jump-target=CONNLIMIT
    1 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1864-3127 action=jump jump-target=CONNLIMIT
    2 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=3129-5599 action=jump jump-target=CONNLIMIT
    3 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=5601-22333 action=jump jump-target=CONNLIMIT
    4 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=22336-65535 action=jump jump-target=CONNLIMIT
    5 chain=CONNLIMIT protocol=tcp connection-limit=10,32 action=drop
    6 chain=CONNLIMIT protocol=tcp connection-state=related action=accept

    Sendo que as regras no bfw que funciona perfeitamente estao abaixo:

    iptables -N CONNLIMIT
    iptables -F CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:22333 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 22336:65535 -j CONNLIMIT
    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

    As regras que criei para o mikrotik estao corretas? Vão limitar em 10 conexoes excluindo algumas portas cada usuario conectado no mikrotik?


    Antecipadamente Grato!

  2. #2

    Padrão

    Limitar conexões por cliente

    Simplérrimo!!
    Acesse o menu IP, FIREWALL

    Na aba "FILTER RULES", crie uma nova regra (botão "+").

    Configure da seguinte forma:
    • CHAIN = FORWARD
    • SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
    • PROTOCOL = 6 (TCP)
    Agora abra a aba "ADVANCED"

    Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
    Abra a aba "EXTRA"

    Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
    No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
    Agora abra a aba "ACTION"
    [Imagem:cliente4.png|500px]]
    EM "ACTION", escolha a opção "DROP".
    Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
    Configure de acordo com sua necessidades
    PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.



  3. #3

    Padrão

    Citação Postado originalmente por parreira13 Ver Post
    Limitar conexões por cliente

    Simplérrimo!!
    Acesse o menu IP, FIREWALL

    Na aba "FILTER RULES", crie uma nova regra (botão "+").


    Configure da seguinte forma:
    • CHAIN = FORWARD
    • SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
    • PROTOCOL = 6 (TCP)
    Agora abra a aba "ADVANCED"

    Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
    Abra a aba "EXTRA"

    Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
    No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
    Agora abra a aba "ACTION"
    [Imagem:cliente4.png|500px]]
    EM "ACTION", escolha a opção "DROP".
    Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
    Configure de acordo com sua necessidades
    PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.
    Esta regra em ip firewall filter funciona quando as interfaces estão em bridge?

  4. #4



  5. #5

    Padrão

    Claro que nao funciona em bridge... o_O

    Coloca um equipamento todo em BRIDGE, coloca uma regra "/ip firewall add chain=forward action=drop" e ve se conta algum pacote... Te garanto que voce pode ter 100Mbits de trafego passando nessa bridge que nao vai contar 1 pacote sequer nessa regra... Nao vai dropar nada a nao ser que fosse "/interface bridge filter add chain=forward action=drop".

    Os pacotes simplesmente nao passam pela chain forward de FIREWALL porque tem que haver roteamento pra isso... Em modo bridge os pacotes soh vao passar por dentro do forward de BRIDGE... E la nao tem connlimit...

    Pro Thiago, pra voce fazer connlimit, voce vai precisar colocar estas regras apos a bridge, em um MT ou Linux servindo de roteador...

    Em anexo uma demonstracao caso ainda hajam duvidas... Observe as regras de bridge contando pacotes enquanto a regra "/ip firewall add chain=forward action=drop" nao faz absolutamente nada...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         screenshot.jpg
Visualizações:	1022
Tamanho: 	214,2 KB
ID:      	3020  
    Última edição por mtrojahn; 10-11-2008 às 12:44.

  6. #6

    Padrão

    Estou com problemas com o firewal pois a estação que recebe os clientes esta em bridge e nao possui processamento para alem de receber 100 clientes sem fio ainda ser firewall, então gostaria de fazer isso na maqui na daki que recebe a internet, pois ela tem 2000 de processamento, mas o firewal nao pega legal pq ela esta atuando com HOTSPOT.

    Eu tenho um PC (HOTSPOT) onde entra a internet, um RB433 (bridge) que joga pra um RB333 (bridge) que recebe 100 clientes.

    Nao posso colocar firewall nas RB´S, certo? e como eu faço pra colocar neste PC se ele esta com hotspot que logo de inicio no firewall ja corta toda minha onda, os clientes com virus estao de mais, com poucos online minha net ja ta indo pro espaço, daki a poko eu vo ta voltando como o PC la em cima no predio com 1400 de processador no lugar da rb, pq qd fazio assim, la em cima era firewall (sem bridge) e ja cortava os virus por la mesmo.

    ME AJUDEM