+ Responder ao Tópico



  1. Não costumo responder a posts pq normalmente alguém mais capacitado que eu acaba respondendo antes de mim, e para não ficar chovendo no molhado prefiro abster-me, mas como não se chegou a uma definição sobre as questões levantadas lá vai.

    Para resolver o problema de conexões simultâneas e P2P definitivamente:


    /ip firewall filter
    add action=accept chain=forward comment="Porta do DNS fora do bloqueio de UDP" disabled=no dst-port=53 protocol=udp
    add action=accept chain=forward comment="Porta do NTP fora do bloqueio de UDP" disabled=no dst-port=123 protocol=udp
    add action=accept chain=forward comment="Porta do TEAMSPEAK1-2 fora do bloqueio de UDP" disabled=no dst-port=8767 protocol=udp
    add action=accept chain=forward comment="Porta do TEAMSPEAK3 fora do bloqueio de UDP" disabled=no dst-port=7969 protocol=udp
    add action=drop chain=forward comment="Bloqueio de UDP" disabled=no out-interface="mudar para o nome da sua interface externa" protocol=udp src-address-list="!IPs com UDP liberado"
    add action=accept chain=forward comment="Porta do HTTP fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=80 protocol=tcp
    add action=accept chain=forward comment="Porta do HTTPS fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=443 protocol=tcp
    add action=add-src-to-address-list address-list="50 Conexoes simultaneas" \ address-list-timeout=1m chain=forward comment=\ "50 Conexoes simultaneas de TCP" connection-limit=50,32 disabled=no \ protocol=tcp src-address-list="!Fora das 50 conexoes simultaneas" \ tcp-flags=syn
    add action=drop chain=forward connection-limit=50,32 disabled=no protocol=tcp src-address-list="50 Conexoes simultaneas" tcp-flags=syn


    Percebam que bloqueei o UDP e fui abrindo as portas necessárias, o P2P normalmente utiliza o UDP pq através desse protocolo ele fica mais solto, com menos controles, mas ao perceber que não tem saída UDP ele utiliza o TCP e ai vc consegue controla-lo, que é exatamente minha intenção, aqui não bloqueio o P2P, mas mantenho ele sobre controle.
    Caso queira liberar totalmente o UDP para algum IP é só adiciona-lo na lista "IPs com UDP liberado".
    As regras de controle de conexões simultâneas são duas, a primeira analisa se existe algum IP com mais que 50 conexões e inclui ele em uma lista, a segunda regra controla as conexões desses ips que foram postos nessa lista, a cada 1 minuto a lista é verificada e se esses ips não voltarem a exceder o limite de conexões são retirados da lista.
    Dessa forma evita-se fazer uma regra para cada ip da rede pq isso eleva muito o processamento do MK, caso queira liberar algum IP das conexões simultâneas é só adiciona-lo na lista "Fora das 50 conexoes simultaneas".
    As portas de HTTP e HTTPS estão fora desse limite de conexões pq se deixa-las sendo controladas tb, a navegação tende a ficar lenta ou até mesmo parar quando a regra entrar em ação.

    Tá ai minha contribuição, espero ter ajudado.

  2. Alguém que entende do assunto, pode me auxiliar...

    estou implantando uma forma que seja capturado com o filter o ip do usuario que exceder por exemplo 100 conexoes e mandando criar uma address-list, ate ai tranquilo, ta listando certo e tudo mais.

    porem quando eu adiciono a regra de drop para dropar os ips que estao na address list, ele nao está fazendo isto de forma individual e sim deixando todos os ips com o numero de conexao setado no nat.

    aqui esta o export:
    ----------------------------------------------------------------------------------------------------------------------------
    /ip firewall filter
    add action=add-src-to-address-list address-list=excedeu_conexoes_simultaneas address-list-timeout=0s chain=forward comment=\
    "======== adiciona no address_list ips que excederem o numero de 100 conexoes simultaneas ========" connection-limit=100,32 \
    disabled=no protocol=tcp tcp-flags=syn
    add action=drop chain=forward comment="======== limita os ips da address_list a 100 coonexoes simultaneas ========" connection-limit=\
    100,32 disabled=no protocol=tcp src-address-list=excedeu_conexoes_simultaneas tcp-flags=syn
    ----------------------------------------------------------------------------------------------------------------------------



  3. Citação Postado originalmente por raumaster Ver Post
    Pessoal, fiz aquela regra de firewall que consta aqui:

    Mikrotik - Under-Linux.Org Wiki

    mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque?

    Uso uma RB-750G com RouterOS 5.11

    EDITADO:

    Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?
    Se vc limitar a 30 conexões, só de abrir a página do orkut, já vai estar quase que com as 30 conexões. Aumenta para pelo menos 120 com máscara 32 e veja a diferença.

  4. amigo a regra é esta abaixo, manda somente o ip que eceder para a address list por 1 minuto.

    /ip firewall filter
    add action=add-src-to-address-list address-list="70 Conexoes simultaneas" \
    address-list-timeout=1m chain=forward comment=\
    "70 Conexoes simultaneas de TCP" connection-limit=70,32 disabled=no \
    protocol=tcp src-address-list="!Fora das 70 conexoes simultaneas" \
    tcp-flags=syn
    add action=drop chain=forward connection-limit=70,32 disabled=no protocol=tcp \
    src-address-list="70 Conexoes simultaneas" tcp-flags=syn



  5. beleza, Carlos...

    01 duvida: o que me ocorre é se for listado varios ips para a address list, cada ip listado la terá 70 conexoes individual ou ira partilhar estas 70 conexoes para todos os ips que listarem?

    02 duvida: a regra de DROP, ela ira avaliar os ips que tao tachados na address list e ira descartar apenas o que exceder o numero de 70 conexoes do usuario, porem ele nao ficara sem navegar, apenas ira dar uma segurada.... isso?

    03: duvida: o que é considerado anormal em numero de conexoes, por exemplo, usuario com um unico pc consome geralmente quanto? quero deixar uma boa sobra, porem tambem se o cara for sorterado com um virus, que nao fique sujando a rede minha.






Tópicos Similares

  1. Mikrotik - limitar conexões simultâneas
    Por evertonsoares no fórum Redes
    Respostas: 1
    Último Post: 23-12-2014, 15:31
  2. Respostas: 10
    Último Post: 14-02-2012, 19:34
  3. Como limitar conexoes simultaneas udp?
    Por evil_inside no fórum Redes
    Respostas: 14
    Último Post: 12-11-2007, 22:45
  4. Limitar conexões simultâneas no slackware
    Por rfm no fórum Servidores de Rede
    Respostas: 3
    Último Post: 22-02-2007, 09:34
  5. Método MAXCONN para limitar conexões simultaneas no SQUID
    Por robinsonsilva no fórum Servidores de Rede
    Respostas: 3
    Último Post: 05-10-2006, 15:03

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L