Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Limitar Conexões Simultâneas

    Pessoal,ja tentei de todas as maneiras que encontrei na net,mas nao consegui fazer com que cada cliente tenha no maximo 200 cps(conexoes por segundo).
    eu adiciono a regra mas o mikrotik nao dropa.
    minha config é essa:
    1 chain=forward action=drop tcp-flags=syn protocol=tcp
    src-address=192.168.10.0/24 connection-limit=200,32

    ja coloquei assim:
    1 chain=forward action=drop tcp-flags=syn protocol=tcp
    src-address=192.168.10.0/24 connection-limit=200,24
    e assim:
    1 chain=forward action=drop tcp-flags=syn protocol=tcp
    src-address=192.168.10.0 connection-limit=200,24
    Ja coloquei tbm pra ele limitar somente para um ip especifico e nada adianta.
    ja fiz um drop do p2p e realmente ele dropou todo trafego p2p,porem nao limita de jeito nenhum as conexoes tcp simultaneas de cada cliente.
    Versao do mk 3.20 level 6....

  2. #2

    Padrão re: Limitar Conexões Simultâneas

    Veja se ajuda ai,
    Controle de conexões simultâneas (Mikrotik)

    ou

    em Firewall -> New Firewall Rule -> Chain = Forward em Src Andress o Ip do cliente, Protocol TCP, Aplicar

    em Advanced -> TCP Flags > Syn -> Aplicar
    em Extra COnection Limit coloquei o numedo de conexoes a limitar e em mask 32 default

  3. #3

    Padrão re: Limitar Conexões Simultâneas

    Amigo aqui nao funciona de jeito nenhum.....
    Sempre vou la no testesuavelocidade.com.brno medidor completo da + de 1000 conexoes,sendo que se eu coloco um no lugar do mk e limito as conexoes em 300,o AP limita as conexoes mas o mk nao limita.....

  4. #4

    Padrão re: Limitar Conexões Simultâneas

    tente esse amigo, aqui funcionou.

    /ip firewall filter
    : for i from=2 to=254 do={ add chain=forward src-address=("192.168.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

    obs. onde está de vermelho será sua faixa de ip que quer limitar, só mais um conselho: após adicionar esse script pelo new terminal verá que seu processador aumentará a carga, por isso tem que ter uma máquina mais potente.

  5. #5

    Padrão re: Limitar Conexões Simultâneas

    Amigo,to axando que a versao 3.x do mk ja faz esse controle automaticamente conforme a velocidade cetada pro cliente,por exemplo: no perfil default eu fasso o teste da 1656kbps de down de 252 de up e 1367 conexoes.
    ai eu vo la mudo meu plano para 500k me desconecto e faço o login.
    volto la no teste,seleciono as mesmas opçoes selecionadas anteriormente no medidor,faço o teste e da 468kbps de down 88kbps de up e 240 conexoes.......
    Esses teste foram feitos com a regra do connection limit DESABILITADA.
    Habilitei a regra e refiz os testes e nao mudou nada os testes deram os mesmos resultados anteriormente.......
    Sera que essa versao ja faz o controle conforme a velocidade controlada???

  6. #6

    Padrão re: Limitar Conexões Simultâneas

    e se puder me mande as regras pra controlar o upload e download do P2P....as regras do wiki nao funcionaram para o ares,e eu nao testei com outro software P2P...obrigado

  7. #7

    Padrão re: Limitar Conexões Simultâneas

    para o ares conseguir apenas bloquear o mesmo, chain=forward, protocol=17 (udp), dest. port=0, action=drop,
    para bloquear o limeware: chain=forward, protocol=17 (udp), dest. port= 1025-65535 e action=drop, nesse último bloqueio vários jogos param de funcionar.

  8. #8

    Padrão re: Limitar Conexões Simultâneas

    Amigo vc tem que olha se a regra esta passando pelo mikrotik e se esta dropando se tiver pode confiar, este teste ai não sei se da para confiar 100% no site.

  9. #9

    Padrão re: Limitar Conexões Simultâneas

    Colega, preste atenção na regra abaixo:

    chain=forward action=drop tcp-flags=syn protocol=tcp src-address=192.168.XX.0/24 connection-limit=50,32

    Estou informando ao firewall que desejo limitar em 50 o número de conexões simultâneas por IP. Altere para o número de conexões desejado e pronto. Essa é a regra correta. Esqueça esse teste.
    Se desejar verificar a eficácia, fique de olho no descarte de pacotes que vai aparecer ao lado da regra. Essa é a prova de que ela funciona e está excluindo tudo que ultrapassa o valor que vc determinou.

  10. #10

    Padrão re: Limitar Conexões Simultâneas

    Amigo, essa regra limita as conexões de cada ip da rede /24 ou seja, os 254 ips em uso incluindo o ip do servidor (Gateway da rede) ou excluindo o ip do servidor? Ou essa regra limita a 50 o numero de conexoes simultaneas de toda a rede /24?

  11. #11

    Padrão re: Limitar Conexões Simultâneas

    Citação Postado originalmente por Rador Ver Post
    Amigo, essa regra limita as conexões de cada ip da rede /24 ou seja, os 254 ips em uso incluindo o ip do servidor (Gateway da rede) ou excluindo o ip do servidor? Ou essa regra limita a 50 o numero de conexoes simultaneas de toda a rede /24?
    Aproveitando a pergunta do colega, e se eu usar um range de ips tipo 10.0.0.1-10.0.255.253 Mask 16?
    Ficaria assim? chain=forward action=drop tcp-flags=syn protocol=tcp src-address=10.0.0.0/16 connection-limit=50,32

  12. #12

    Padrão re: Limitar Conexões Simultâneas

    Pessoal, fiz aquela regra de firewall que consta aqui:

    Mikrotik - Under-Linux.Org Wiki

    mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque?

    Uso uma RB-750G com RouterOS 5.11

    EDITADO:

    Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?
    Última edição por raumaster; 12-01-2012 às 19:03.

  13. #13

    Padrão Re: Limitar Conexões Simultâneas

    boa noite venho por meio do fórum pedir ajuda dos senhores pois tenho um provedor uso hotspot não consigo bloqueio de p2p e nem de site já tentei de todo jeito não consigo meu hotspot esta normal mais não consigo fazer isso se possível algum amigo pude ajuda agradeço!



  14. #14

    Padrão Re: Limitar Conexões Simultâneas

    Citação Postado originalmente por jeorge Ver Post
    boa noite venho por meio do fórum pedir ajuda dos senhores pois tenho um provedor uso hotspot não consigo bloqueio de p2p e nem de site já tentei de todo jeito não consigo meu hotspot esta normal mais não consigo fazer isso se possível algum amigo pude ajuda agradeço!






    hj a maioria dos P2P utilizam as portas udp ,mikrotik no controle de banda do usuario "NAO CONTROLA UDP" (não so mikrotik mas quase todos os sistemas tcp based).
    A saida pra não ter problemas com consumo excessivo de banda é fazer um shapping.


    /ip/firewall/mangle
    add action=mark-connection chain=prerouting comment="===== P2P" disabled=no dst-port=!53 new-connection-mark=\
    UDP-P2P passthrough=yes protocol=udp src-port=!53
    add action=mark-packet chain=prerouting comment="" connection-mark=UDP-P2P disabled=no new-packet-mark=UDP-P2P \
    passthrough=no

    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=512k name=UDP-P2P \
    packet-mark="UDP-P2P" parent=global-out priority=8 queue=default
    pode se usar outras portas para que nao se passe pela regra.
    src-port=!53,123,1024-5000
    ^ ^ ^
    | | |______ Range
    | |_____________ Porta
    |________________ Porta
    postado em outro forum pelo INT21

  15. #15

    Padrão Re: Limitar Conexões Simultâneas

    Essa regra limita a 50 conexões cada IP da rede, se ela limitasse a rede inteira a 50 conexões ninguém conseguiria navegar.

  16. #16

    Padrão Re: Limitar Conexões Simultâneas

    Não costumo responder a posts pq normalmente alguém mais capacitado que eu acaba respondendo antes de mim, e para não ficar chovendo no molhado prefiro abster-me, mas como não se chegou a uma definição sobre as questões levantadas lá vai.

    Para resolver o problema de conexões simultâneas e P2P definitivamente:


    /ip firewall filter
    add action=accept chain=forward comment="Porta do DNS fora do bloqueio de UDP" disabled=no dst-port=53 protocol=udp
    add action=accept chain=forward comment="Porta do NTP fora do bloqueio de UDP" disabled=no dst-port=123 protocol=udp
    add action=accept chain=forward comment="Porta do TEAMSPEAK1-2 fora do bloqueio de UDP" disabled=no dst-port=8767 protocol=udp
    add action=accept chain=forward comment="Porta do TEAMSPEAK3 fora do bloqueio de UDP" disabled=no dst-port=7969 protocol=udp
    add action=drop chain=forward comment="Bloqueio de UDP" disabled=no out-interface="mudar para o nome da sua interface externa" protocol=udp src-address-list="!IPs com UDP liberado"
    add action=accept chain=forward comment="Porta do HTTP fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=80 protocol=tcp
    add action=accept chain=forward comment="Porta do HTTPS fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=443 protocol=tcp
    add action=add-src-to-address-list address-list="50 Conexoes simultaneas" \ address-list-timeout=1m chain=forward comment=\ "50 Conexoes simultaneas de TCP" connection-limit=50,32 disabled=no \ protocol=tcp src-address-list="!Fora das 50 conexoes simultaneas" \ tcp-flags=syn
    add action=drop chain=forward connection-limit=50,32 disabled=no protocol=tcp src-address-list="50 Conexoes simultaneas" tcp-flags=syn


    Percebam que bloqueei o UDP e fui abrindo as portas necessárias, o P2P normalmente utiliza o UDP pq através desse protocolo ele fica mais solto, com menos controles, mas ao perceber que não tem saída UDP ele utiliza o TCP e ai vc consegue controla-lo, que é exatamente minha intenção, aqui não bloqueio o P2P, mas mantenho ele sobre controle.
    Caso queira liberar totalmente o UDP para algum IP é só adiciona-lo na lista "IPs com UDP liberado".
    As regras de controle de conexões simultâneas são duas, a primeira analisa se existe algum IP com mais que 50 conexões e inclui ele em uma lista, a segunda regra controla as conexões desses ips que foram postos nessa lista, a cada 1 minuto a lista é verificada e se esses ips não voltarem a exceder o limite de conexões são retirados da lista.
    Dessa forma evita-se fazer uma regra para cada ip da rede pq isso eleva muito o processamento do MK, caso queira liberar algum IP das conexões simultâneas é só adiciona-lo na lista "Fora das 50 conexoes simultaneas".
    As portas de HTTP e HTTPS estão fora desse limite de conexões pq se deixa-las sendo controladas tb, a navegação tende a ficar lenta ou até mesmo parar quando a regra entrar em ação.

    Tá ai minha contribuição, espero ter ajudado.

  17. #17

    Padrão Re: Limitar Conexões Simultâneas

    Alguém que entende do assunto, pode me auxiliar...

    estou implantando uma forma que seja capturado com o filter o ip do usuario que exceder por exemplo 100 conexoes e mandando criar uma address-list, ate ai tranquilo, ta listando certo e tudo mais.

    porem quando eu adiciono a regra de drop para dropar os ips que estao na address list, ele nao está fazendo isto de forma individual e sim deixando todos os ips com o numero de conexao setado no nat.

    aqui esta o export:
    ----------------------------------------------------------------------------------------------------------------------------
    /ip firewall filter
    add action=add-src-to-address-list address-list=excedeu_conexoes_simultaneas address-list-timeout=0s chain=forward comment=\
    "======== adiciona no address_list ips que excederem o numero de 100 conexoes simultaneas ========" connection-limit=100,32 \
    disabled=no protocol=tcp tcp-flags=syn
    add action=drop chain=forward comment="======== limita os ips da address_list a 100 coonexoes simultaneas ========" connection-limit=\
    100,32 disabled=no protocol=tcp src-address-list=excedeu_conexoes_simultaneas tcp-flags=syn
    ----------------------------------------------------------------------------------------------------------------------------

  18. #18

    Padrão Re: Limitar Conexões Simultâneas

    Citação Postado originalmente por raumaster Ver Post
    Pessoal, fiz aquela regra de firewall que consta aqui:

    Mikrotik - Under-Linux.Org Wiki

    mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque?

    Uso uma RB-750G com RouterOS 5.11

    EDITADO:

    Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?
    Se vc limitar a 30 conexões, só de abrir a página do orkut, já vai estar quase que com as 30 conexões. Aumenta para pelo menos 120 com máscara 32 e veja a diferença.

  19. #19

    Padrão Re: Limitar Conexões Simultâneas

    amigo a regra é esta abaixo, manda somente o ip que eceder para a address list por 1 minuto.

    /ip firewall filter
    add action=add-src-to-address-list address-list="70 Conexoes simultaneas" \
    address-list-timeout=1m chain=forward comment=\
    "70 Conexoes simultaneas de TCP" connection-limit=70,32 disabled=no \
    protocol=tcp src-address-list="!Fora das 70 conexoes simultaneas" \
    tcp-flags=syn
    add action=drop chain=forward connection-limit=70,32 disabled=no protocol=tcp \
    src-address-list="70 Conexoes simultaneas" tcp-flags=syn

  20. #20

    Padrão Re: Limitar Conexões Simultâneas

    beleza, Carlos...

    01 duvida: o que me ocorre é se for listado varios ips para a address list, cada ip listado la terá 70 conexoes individual ou ira partilhar estas 70 conexoes para todos os ips que listarem?

    02 duvida: a regra de DROP, ela ira avaliar os ips que tao tachados na address list e ira descartar apenas o que exceder o numero de 70 conexoes do usuario, porem ele nao ficara sem navegar, apenas ira dar uma segurada.... isso?

    03: duvida: o que é considerado anormal em numero de conexoes, por exemplo, usuario com um unico pc consome geralmente quanto? quero deixar uma boa sobra, porem tambem se o cara for sorterado com um virus, que nao fique sujando a rede minha.