+ Responder ao Tópico



  1. #1

    Padrão limitando conexoes simultaneas no mikrotik "bridge"

    Olá pessoal! Eu sou novo no sistema mikrotik, estou usando o mikrotik apenas como ap-bridge (bridge em todas as interfaces) anteriormente eu usava um linux chamado BFW + drivers madwifi, estou com duvida em relaçao a limitação de conexões simultaneas, criei as seguintes regras em base das regras que eu usava no bfw (iptables) as regras no mikrotik ficaram assim:

    ip firewall filter print

    0 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1024-1862 action=jump jump-target=CONNLIMIT
    1 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=1864-3127 action=jump jump-target=CONNLIMIT
    2 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=3129-5599 action=jump jump-target=CONNLIMIT
    3 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=5601-22333 action=jump jump-target=CONNLIMIT
    4 chain=forward dst-address=0.0.0.0/0 protocol=tcp dst-port=22336-65535 action=jump jump-target=CONNLIMIT
    5 chain=CONNLIMIT protocol=tcp connection-limit=10,32 action=drop
    6 chain=CONNLIMIT protocol=tcp connection-state=related action=accept

    Sendo que as regras no bfw que funciona perfeitamente estao abaixo:

    iptables -N CONNLIMIT
    iptables -F CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:22333 -j CONNLIMIT
    iptables -A FORWARD -p TCP -d 0/0 --dport 22336:65535 -j CONNLIMIT
    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 10 --connlimit-mask 32 -j DROP

    As regras que criei para o mikrotik estao corretas? Vão limitar em 10 conexoes excluindo algumas portas cada usuario conectado no mikrotik?


    Antecipadamente Grato!

  2. #2

    Padrão

    Limitar conexões por cliente

    Simplérrimo!!
    Acesse o menu IP, FIREWALL

    Na aba "FILTER RULES", crie uma nova regra (botão "+").

    Configure da seguinte forma:
    • CHAIN = FORWARD
    • SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
    • PROTOCOL = 6 (TCP)
    Agora abra a aba "ADVANCED"

    Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
    Abra a aba "EXTRA"

    Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
    No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
    Agora abra a aba "ACTION"
    [Imagem:cliente4.png|500px]]
    EM "ACTION", escolha a opção "DROP".
    Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
    Configure de acordo com sua necessidades
    PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.

  3. #3

    Padrão

    Citação Postado originalmente por parreira13 Ver Post
    Limitar conexões por cliente

    Simplérrimo!!
    Acesse o menu IP, FIREWALL

    Na aba "FILTER RULES", crie uma nova regra (botão "+").


    Configure da seguinte forma:
    • CHAIN = FORWARD
    • SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.
    • PROTOCOL = 6 (TCP)
    Agora abra a aba "ADVANCED"

    Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
    Abra a aba "EXTRA"

    Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
    No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
    Agora abra a aba "ACTION"
    [Imagem:cliente4.png|500px]]
    EM "ACTION", escolha a opção "DROP".
    Basicamente esta regra libera XX conecções simultâneas para o cliente, bloqueando requisições de conecções acima do limite.
    Configure de acordo com sua necessidades
    PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP XXX.XXX.XXX.0 e o NETMASK para 24.
    Esta regra em ip firewall filter funciona quando as interfaces estão em bridge?

  4. #4

  5. #5

    Padrão

    Claro que nao funciona em bridge... o_O

    Coloca um equipamento todo em BRIDGE, coloca uma regra "/ip firewall add chain=forward action=drop" e ve se conta algum pacote... Te garanto que voce pode ter 100Mbits de trafego passando nessa bridge que nao vai contar 1 pacote sequer nessa regra... Nao vai dropar nada a nao ser que fosse "/interface bridge filter add chain=forward action=drop".

    Os pacotes simplesmente nao passam pela chain forward de FIREWALL porque tem que haver roteamento pra isso... Em modo bridge os pacotes soh vao passar por dentro do forward de BRIDGE... E la nao tem connlimit...

    Pro Thiago, pra voce fazer connlimit, voce vai precisar colocar estas regras apos a bridge, em um MT ou Linux servindo de roteador...

    Em anexo uma demonstracao caso ainda hajam duvidas... Observe as regras de bridge contando pacotes enquanto a regra "/ip firewall add chain=forward action=drop" nao faz absolutamente nada...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         screenshot.jpg
Visualizações:	1134
Tamanho: 	214,2 KB
ID:      	3020  
    Última edição por mtrojahn; 10-11-2008 às 13:44.

  6. #6

    Padrão

    Estou com problemas com o firewal pois a estação que recebe os clientes esta em bridge e nao possui processamento para alem de receber 100 clientes sem fio ainda ser firewall, então gostaria de fazer isso na maqui na daki que recebe a internet, pois ela tem 2000 de processamento, mas o firewal nao pega legal pq ela esta atuando com HOTSPOT.

    Eu tenho um PC (HOTSPOT) onde entra a internet, um RB433 (bridge) que joga pra um RB333 (bridge) que recebe 100 clientes.

    Nao posso colocar firewall nas RB´S, certo? e como eu faço pra colocar neste PC se ele esta com hotspot que logo de inicio no firewall ja corta toda minha onda, os clientes com virus estao de mais, com poucos online minha net ja ta indo pro espaço, daki a poko eu vo ta voltando como o PC la em cima no predio com 1400 de processador no lugar da rb, pq qd fazio assim, la em cima era firewall (sem bridge) e ja cortava os virus por la mesmo.

    ME AJUDEM

  7. #7

    Padrão

    Funciona em Bridge sim, pois uso ela, e ainda faço log pra ver se esta tudo ok.
    Ta ai na imagem enexada!
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         filter.JPG
Visualizações:	833
Tamanho: 	150,8 KB
ID:      	3051  
    Última edição por rogeriodj; 17-11-2008 às 16:14.

  8. #8

    Padrão

    Pra complementar entao manda um IP / ROUTES entao...

    Desculpa mas isso que voce ta dizendo vai contra qualquer coisa de rede que eu conheco... Sao conceitos bem simples, conexoes TCP nao existem em ambientes camada 2... Isto nao ha o que discutir... Se voce esta conseguindo fazer isto eu diria que tem algo muito estranho acontecendo ai...

    Outra, um exemplo de IP / FIREWALL / NAT tambem iria bem...

  9. #9

    Padrão

    Ta ai o print do meu nat e routes.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         nat.jpg
Visualizações:	632
Tamanho: 	159,5 KB
ID:      	3052   Clique na imagem para uma versão maior

Nome:	         route.jpg
Visualizações:	519
Tamanho: 	94,2 KB
ID:      	3053  


  10. #10
    Mikrotiando..
    Ingresso
    Sep 2007
    Localização
    São Paulo
    Posts
    326
    Posts de Blog
    2

    Padrão

    cara eu tbm estou conseguindo fazer em bridge.. como nosso amigo..
    como pode nao sei.. mas esta funcionando!! srsr

  11. #11

    Padrão Controle de conexoes simultaneas no free bsd

    Fiz essas regras no miktrotik e esta cheio de bola, mas e o free bsd como fadco para colocar, alguem sabe me ajudar?

    Marcus

    A - NetMail :: Provedor de Internet - Loja de Informatica / MG

    meu email: [email protected]

  12. #12

    Padrão

    Gosta de saber como colocar essas regras de limite de conexao, pois coloquei no mikrotik e ficou muio tom?
    agora alguem sabe me ajudar...

  13. #13

    Padrão

    Citação Postado originalmente por marcus_bastos Ver Post
    Fiz essas regras no miktrotik e esta cheio de bola, mas e o free bsd como fadco para colocar, alguem sabe me ajudar?

    Marcus

    A - NetMail :: Provedor de Internet - Loja de Informatica / MG

    meu email: [email protected]
    Depois de ativar o ipfw em modo bridge, é simples.

    ipfw add allow tcp from 192.168.1.0/24 to any setup limit src-addr 10 layer2


    Para ativar o ipfw em camada2, digite:
    sysctl net.link.ether.ipfw=1

  14. #14

    Padrão free bsd com limite de conexao

    So isso que precisa de regras no free bsd?

  15. #15

    Padrão

    Citação Postado originalmente por mtrojahn Ver Post
    Claro que nao funciona em bridge... o_O

    Coloca um equipamento todo em BRIDGE, coloca uma regra "/ip firewall add chain=forward action=drop" e ve se conta algum pacote... Te garanto que voce pode ter 100Mbits de trafego passando nessa bridge que nao vai contar 1 pacote sequer nessa regra... Nao vai dropar nada a nao ser que fosse "/interface bridge filter add chain=forward action=drop".

    Os pacotes simplesmente nao passam pela chain forward de FIREWALL porque tem que haver roteamento pra isso... Em modo bridge os pacotes soh vao passar por dentro do forward de BRIDGE... E la nao tem connlimit...

    Pro Thiago, pra voce fazer connlimit, voce vai precisar colocar estas regras apos a bridge, em um MT ou Linux servindo de roteador...

    Em anexo uma demonstracao caso ainda hajam duvidas... Observe as regras de bridge contando pacotes enquanto a regra "/ip firewall add chain=forward action=drop" nao faz absolutamente nada...

    Na versão 2.9.x funciona sim em modo bridge, agora na versão 3.x não ta funcionando em modo bridge.

    Alguem sabe porque ?

  16. #16

    Padrão

    Pessoal, alguém sabe informar como fazer bloqueio de conexões simultaneas com mk ap em modo bridger? Eu usava aqui na versão 2.9.x mas agora na versão 3.x nada de funciona.

  17. #17

    Padrão

    como faz para aparecer esses detalhes no mk?
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         det.jpg
Visualizações:	280
Tamanho: 	6,3 KB
ID:      	3264  

  18. #18

    Padrão

    Citação Postado originalmente por FernandodeDeus Ver Post
    como faz para aparecer esses detalhes no mk?
    É bem simples,
    Clica com o botão direito na parte superior do Mikrotik e seleciona as opções desejaveis.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Mikrotik.JPG
Visualizações:	232
Tamanho: 	7,2 KB
ID:      	3266