Regra Limitar conexões em Bridge MK

[fwsolutions]

Olá amigos do forum, estou solicitando auxilio de todos, pois tenho uma rb600a com 4 cartoes r52h com aproximadamente 150 clientes cadastrados no conjunto e recentemente tenho tido problemas com virus em clientes que abrem diversas conexões simultaneas levando o ping nas alturas neste ponto, já tentei de tudo e não consegui limitar essas conexões.

Gostaria de uma regra para aplicar no firewall do Bridge do mikrotik, que limitasse em 30 conexões simultaneas os clientes. Pois tenho algumas regras ja especificadas na opçao BRIDGE e FILTERS.

Minha routerboard está toda em Bridge e uso a versão 4.13 do MK preciso urgente de ajuda porque quando alguns clientes se conectam a rede fica ruim e estou a perigo de perder clientes. Os Pings variam de 900 a 1000 e ai vai, já testei tudo e inclusive monitorei pelo torch e realmente tem uns 5 clientes que abrem umas 80 conexões simultaneas pra mais em ips estranhos e portas de valores altos.
Por favor se alguem tiver uma soluçao agradeço!!

[sosouteiro]

Amigo, você utiliza alguma forma de autenticação (hotspot, pppoe...) ? Outra coisa... você já prestou atenção quantos clientes simultâneos você tem, em média?

[fwsolutions]

Olá amigo, sim eu tenho um servidor separado, central de autenticaçao aonde tenho o firewall, regras, hotspot, queues etc..

Só que queria limitar isto no radio em cima da torre, no caso a rb600a, pq estou tendo problemas com virus na rede que abre muitas conexões simultaneas levando o ping acima do normal, mesmo com pouco trafego na rede quando alguns clientes se conectam o ping vai lá em cima, já troquei cartão chequei canais e todos procedimentos necessários, mas não resolveu. Verifiquei pelo torch e alguns clientes tem muitas conexões simultaneas em portas altas e acho que isto que está dando problema, se puder me passar uma regra pra limitar em 30 conexões simultaneas direto na bridge ficaria agradecido

Até mais Obrigado!

[sosouteiro]

Cara, na bridge mesmo, acho que não tem como fazer esse bloqueiro. Porque a limitação de novas conexões é do tipo "syn" o que a bridge não permite trabalhar, pois trabalha na camada 2 do modelo OSI. Você poderia tentar utilizar o ip>>firewall, mas dará muito trabalho, mas mesmo assim creio que seja difícil fazer esse bloqueio.

[fwsolutions]

Então amigo, mas é complicado né eu não tenho muito dominio sobre esta area, será que teria uma soluçao para este problema, é só em um painel que está acontecendo isto, justamente no que tem mais clientes conectados e exigentes, e o ping vai as alturas do nada, fica louco, será que tem como resolver isto????

[sosouteiro]

Então... não tem como você fazer esse bloqueio por conta das camadas do modelo OSI, mas como você diz que isso está acontecendo somente com um painel, vai ver não é a quantidade de dados que está passando ou a quantidade de clientes simultâneos, quando isto está acontecendo... como você disse ser o cartão que tem mais clientes e que estes são os mais exigentes... instala outro painel.

[p4ulo182]

Dá uma olhadinha, a quanto está indo o throughput, na hora que os pings elevam, verifique os ACK dos clientes, niveis de sinal ruins. basicamente isso.

[iverton]

amigo tem sim como limitar o numero de conexões na bridge do mk.
primeiro va no memu brigde, na aba bridge clique em setings e marque "use ip firewall".
está utilizando o firewall na bridge.
tem um script para conexões simultaneas.

/firewall filter
: for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

o from=x to=y é o ip inicial e o ip final que queres crias conexões simultaneas, src-address= troque pela sua rede, connection-limit= é o numero de conexões.

clica na estrelinha pra agradecer.

[sosouteiro]

Amigo iverton, o problema é que quando você utiliza esta opção você sai da camada 2 (que onde a bridge funciona) e vai para a camada 3 (rede) não permitindo que outras configurações, somente aplicadas as bridges, deixem de ser utilizadas.

[iverton]

Amigo iverton, o problema é que quando você utiliza esta opção você sai da camada 2 (que onde a bridge funciona) e vai para a camada 3 (rede) não permitindo que outras configurações, somente aplicadas as bridges, deixem de ser utilizadas.

mas o assunto do tópico é simplesmente colocar controle de conexão na bridge, o amigo fwsolution não falou nada em outro tipo de configuração da bridge, então é isso que ele quer, e não vejo que tipo de configuração não funcionaria desse modo.

[claudinhohw]

amigo não seria mais facil vc só criar uma regra para bloquear virús?

[iverton]

amigo não seria mais facil vc só criar uma regra para bloquear virús?

quantas regras para virus seriam criadas? uma???
certamente não, seriam várias, várias mesmo.

[nonoque]

amigo tem sim como limitar o numero de conexões na bridge do mk.
primeiro va no memu brigde, na aba bridge clique em setings e marque "use ip firewall".
está utilizando o firewall na bridge.
tem um script para conexões simultaneas.

/firewall filter
: for i from=2 to=254 do={ add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

o from=x to=y é o ip inicial e o ip final que queres crias conexões simultaneas, src-address= troque pela sua rede, connection-limit= é o numero de conexões.

clica na estrelinha pra agradecer.

Gostei da idéia! Nem sabia que isso era possível...

[fwsolutions]

Olá amigo, desculpe minha ignorancia, mas este scritp eu devo colocar no System Script ou direto na bridge, porque eu modifiquei aqui e não vi modificações nas conexões, por gentileza me explique melhor como inserir este script, minha rede está assim:

rede 172.100.10.0/24
Rede 172.100.100.0/24 dhcp
rede 172.100.11.0/24 extensão de rede da classe 172.100.10.0/24

Se vc puder me dar esta força ficarei muito grato ! Até mais Obrigado

[iverton]

Olá amigo, desculpe minha ignorancia, mas este scritp eu devo colocar no System Script ou direto na bridge, porque eu modifiquei aqui e não vi modificações nas conexões, por gentileza me explique melhor como inserir este script, minha rede está assim:

rede 172.100.10.0/24
Rede 172.100.100.0/24 dhcp
rede 172.100.11.0/24 extensão de rede da classe 172.100.10.0/24

Se vc puder me dar esta força ficarei muito grato ! Até mais Obrigado

amigo cola o script no terminal que ele cria as regras.
/firewall filter
: for i from=2 to=254 do={ add chain=forward src-address=("172.100.10." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}
/firewall filter
: for i from=2 to=254 do={ add chain=forward src-address=("172.100.11." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}
/firewall filter
: for i from=2 to=254 do={ add chain=forward src-address=("172.100.100." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}


Amigo porque está usando ips publicos para seus clientes?
Estás violando RFC 1918, onde diz que os ips privados são:
Classe A 10.0.0.0 – 10.255.255.255 10.0.0.0/8Classe B 172.16.0.1 – 172.31.255.255 172.16.0.0/16Classe C 192.168.0.0 – 192.168.255.255 192.168.0.0/24

[fwsolutions]

Olá amigo consegui inserir as regras só que não funcionaram, eu habilitei o Use IP Firewall da bridge e mesmo assim não funcionou, tá dificil cara bloquear as conexões e isso tá acabando com a rede, 1 cliente com muitas conexões está acabando com a rede
estava monitorando a rede no geral e o numero de conexões chegou a 2255 e os pings de 800 pra cima tá dificil bloquear isso alguem poderia dar uma força.


desde já agradeço a colaboraçao de todos

[nandoyuka]

e ai amigo resolveu seu problema ?

acredito que ja né.

aqui uso algumas regras de bloqueio de virus caso queira, posso passar bele.

Fernando L. de Paula Junior
Administrador de Redes.
(18) 9734-4000
[email protected]
www.tvcsa.com.br

[fwsolutions]

Olá amigo Nandoyuka, tudo bem? então cara eu coloquei rádio nestes clientes com controle de banda local, e resolveu o problema, atualmente não uso mais placa pci nem USB e nunca mais tive estes problemas, mas se tu puder passar as regras, são sempre bem vindas.

Agradeço sua disposição e auxilio.

Abraços !

[nandoyuka]