+ Responder ao Tópico



  1. #1

    Padrão Lentidão com limite de conexão simultanea

    Pessoal, fiz aquela regra de firewall que consta aqui:

    Mikrotik - Under-Linux.Org Wiki

    mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque? Tentei limitar em 50 e so demora mais tempo pra começar a dar problema, sites não abrem, fica carregado, carregando e nada, até da timeout! To quase deixando em 100, q é o padrão que aparece no RouterOS quando vou configurar o limite. Nao tem logica isso pq nao tem nada aberto no PC, só uma pagina apenas, ninguem usando P2P no momento e mesmoa assim nao abre, só desativar essa regra no firewall q fica uma blz!

    Uso uma RB-750G com RouterOS 5.11

    Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?

    Atualização:

    Fiz um teste com 100 conexões simultaneas e fui abaixando, em 60 aparentemente foi um valor razoavel que encontrei q ainda nao afetou a navegação. É um valor relativamente alto, mas assim até agora tá funcionando sem ninguém reclamar.
    Última edição por raumaster; 13-01-2012 às 12:23.

  2. #2

    Padrão Re: Lentidão com limite de conexão simultanea

    O limite de conexoes simultaneas não deve ser aplicado a TCP 80 e 443 (acesso a sites), além de UDP 53 (consulta DNS).
    Reveja suas regras, aplicando o limite somente nas portas restantes.
    Aqui limito em 10 conexoes por cliente, deixando estas portas que falei fora da limitação.
    Funciona redondo.

  3. #3

    Padrão Re: Lentidão com limite de conexão simultanea

    Bom saber disso, não sabia. Como faço para limitar todas menos as portas 80, 443 e 53?

    Atualização:

    Achei essa regra, é assim mesmo. Só retirei algumas portas, alterei o limite pra 10 conexoes e mudei a faixa de IP pra faixa que uso aqui:


    [Mangle]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no

    [Filter]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no

    ----------------

    Pergunte, ai na regra do filtro tá 25,32 ou seja, 25 conexões, mas o 32 realmente vai indicar 25 pra cada IP dessa faixa ou 25 conexoes pra toda faixa de IP?

    ATUALIZAÇAO 2:

    Tentei essa regra ai com 10 conexoes e lascou tudo! Navega por um tempo e depois nao abre mais nada direito! Tentei entao colocar o limite individualmente para um IP especifico e ficou a mesma coisa! O q pode ta havendo?

    Atualização 3:

    Eu descobri o problema, eu tava esquecendo ativar aquele Checkbox onde tem uma exclamação na opção Packet Mark do filtro. A propósito, o que faz essa exclamação ativada?

    Atualização 4:

    Infelizmente continua do mesmo jeito! Só meu PC que tava passando por essas regras q tava normal, meu irmão foi usar outro PC na rede e o dele nao tava abrindo direito as paginas, nao carregava imagens, etc, só foi eu desativar o filtro e pimba, carregou tudo de primeira! O q q ta de errado ai?
    Última edição por raumaster; 15-01-2012 às 20:30.

  4. #4

    Padrão Re: Lentidão com limite de conexão simultanea

    /ip firewall filter
    add action=drop chain=forward comment="Limitando Conexoes Simultaneas TCP" \
    connection-limit=5,32 disabled=no dst-address=0.0.0.0/0 dst-port=!80,443 \
    protocol=tcp src-address=10.1.0.0/16 tcp-flags=syn
    add action=drop chain=forward comment="Limitando Conexoes Simultaneas UDP" \
    disabled=no dst-address=0.0.0.0/0 dst-port=!53 limit=1,5 protocol=udp \
    src-address=10.1.0.0/16

    Segue regra, onde 10.1.0.0/16 é a minha faixa local de clientes.

  5. #5

    Padrão Re: Lentidão com limite de conexão simultanea

    Qual a diferença em marcar essas portas no mangle e no filter? Pq a regra que eu postei as portas tao marcadas no Mangle e na sua regra tao no filter... Nao sei se entendi bem...

  6. #6

    Padrão Re: Lentidão com limite de conexão simultanea

    Não sei o que acontece, mas retirei todas as regras e refiz varias vezes, inclusive essa q vc passou, apenas aumentei o limite pra 25 e mesmo assim tenho problema. Fiz primeiro só pra minha faixa de IP local, Clientes cabeados, meu PC fica de boa, funciona tudo, abre as paginas perfeitamente, mas o PC do meu irmão começa a dar problema de carregamento das paginas, imagens que não carregam, etc, basta desativar a regra que volta tudo à mais perfeita ordem. Eu simplesmente to rodando meu Mikrotik sem regrana nenhuma pq assim tá todo mundo feliz só com controle de banda e nada mais.

  7. #7
    Alex Rock Avatar de alexrock
    Ingresso
    Jan 2006
    Localização
    S. J. do Rio Preto-SP
    Posts
    834

    Padrão Re: Lentidão com limite de conexão simultanea

    Tá com cara de vírus isso ai... O conficker faz isso, abre n conexões com a Internet. Ou pode ser outro vírus, que usa esse computador como zumbis em ataques DDOS.
    Ele esgota as conexões possíveis e ai não sobra mais nada pra navegação.
    O padrão do WinXP com o SP2 são somente 10 conexões simultâneas de funciona bem.

  8. #8

    Padrão Re: Lentidão com limite de conexão simultanea

    Mais aí que ta o problema. Cliente me ligou falando que a internet estava lenta . fui observar o numero de conexoes que estava fazendo e pimba.
    mais 3000 conexoes no seu ip e advinha aonde porta 80 . Virus na certa.
    3000 conexoes no meu radio estava matando minha rede . Minhas regras deixam a porta 80 fora . Tenho que pensar algo tipo limitar todas as portas e deixar um numero tipo 60 ou 80 conexoes sei la.
    Vou deixar para os mais experientes.

  9. #9

    Padrão Re: Lentidão com limite de conexão simultanea

    To usando outra regra colocada em outro topico, ta show de bola, só a porta 80, 443 e 53 tão de fora da regra.

  10. #10

    Padrão Re: Lentidão com limite de conexão simultanea

    A regra só limita pacotes TCP.

    Não há necessidade de incluir a 53 por fora do limite, visto que resoluções de nomes DNS acontecem via UDP.

  11. #11

    Padrão Re: Lentidão com limite de conexão simultanea

    Cara Boa tarde
    Desculpa ta revirando um tópico meio antigo mais me surgio a seguinte duvida,

    connection-limit=5,32 nessa linha esse 32 se refere a uma mascara

    no meu caso eu tenho um dhcp na seguinte forma

    /ip dhcp-server network
    add address=10.0.0.0/24 comment="hotspot network" dhcp-option="" dns-server=\
    208.67.222.222,208.67.220.220 gateway=10.0.0.1 netmask=24 ntp-server="" \
    wins-server=""
    add address=10.0.1.0/24 comment="hotspot network" dhcp-option="" dns-server=\
    208.67.222.222,208.67.220.220 gateway=10.0.1.1 netmask=24 ntp-server="" \
    wins-server=""
    add address=10.0.2.0/24 comment="hotspot network" dhcp-option="" dns-server=\
    208.67.222.222,208.67.220.220 gateway=10.0.2.1 netmask=24 ntp-server="" \
    wins-server=""

    teria que fazer uma regra pra cada faixa de ip? Lembrado que so tenho uma placa de saida e essas 3 faixas de ip




    Citação Postado originalmente por netosdr Ver Post
    /ip firewall filter
    add action=drop chain=forward comment="Limitando Conexoes Simultaneas TCP" \
    connection-limit=5,32 disabled=no dst-address=0.0.0.0/0 dst-port=!80,443 \
    protocol=tcp src-address=10.1.0.0/16 tcp-flags=syn
    add action=drop chain=forward comment="Limitando Conexoes Simultaneas UDP" \
    disabled=no dst-address=0.0.0.0/0 dst-port=!53 limit=1,5 protocol=udp \
    src-address=10.1.0.0/16

    Segue regra, onde 10.1.0.0/16 é a minha faixa local de clientes.

  12. #12

    Padrão Re: Lentidão com limite de conexão simultanea

    / ip firewall filter

    add action=drop chain=forward comment=\
    "Limite de 100 Conex\F5es portas 80 e 443" connection-limit=100,32 \
    disabled=no dst-address-list=!svs_priori dst-port=80,443 protocol=tcp \
    src-address-list=Clientes tcp-flags=syn
    add action=drop chain=forward comment=\
    "Limite de 20 Conex\F5es portas diferentes de 80 e 443" connection-limit=\
    20,32 disabled=no dst-port=!80,443 protocol=tcp src-address-list=Clientes \
    tcp-flags=syn

    "svs_priori" contém endereços que eu não quero limitar, como face, orkut, mercado livre, dentro outros.
    "Clientes" contém endereços dos meus clientes.

    Como pra você é possível englobar os clientes em um /16 , pode tirar o src-address-list e por src-address=10.1.0.0/16

    100 conexões por IP para porta 80 / 443
    20 para outras.

    Lembrando que não há necessidade de incluir a 53.

  13. #13

    Padrão Re: Lentidão com limite de conexão simultanea

    Pessoal só usar 120 conexões para porta 80 e 443, só o Youtube quando abre consome umas 40 conexões ! eu só limito para nenhum engraçadinho revender minha internet ou compartilhar para a rua toda hehe, agora para dentro de casa 120 conexões está de bom tamanho, podem colocar sem medo.

  14. #14

    Padrão Re: Lentidão com limite de conexão simultanea

    Citação Postado originalmente por silviola Ver Post
    / ip firewall filter

    add action=drop chain=forward comment=\
    "Limite de 100 Conex\F5es portas 80 e 443" connection-limit=100,32 \
    disabled=no dst-address-list=!svs_priori dst-port=80,443 protocol=tcp \
    src-address-list=Clientes tcp-flags=syn
    add action=drop chain=forward comment=\
    "Limite de 20 Conex\F5es portas diferentes de 80 e 443" connection-limit=\
    20,32 disabled=no dst-port=!80,443 protocol=tcp src-address-list=Clientes \
    tcp-flags=syn

    "svs_priori" contém endereços que eu não quero limitar, como face, orkut, mercado livre, dentro outros.
    "Clientes" contém endereços dos meus clientes.

    Como pra você é possível englobar os clientes em um /16 , pode tirar o src-address-list e por src-address=10.1.0.0/16

    100 conexões por IP para porta 80 / 443
    20 para outras.

    Lembrando que não há necessidade de incluir a 53.
    Olá amigo tudo bem ?
    vc pode postar a regra do "svs_priori" e "Clientes"
    no caso são 2 regras certo?
    ou a Clientes he a interface de saida ?

  15. #15

    Padrão Re: Lentidão com limite de conexão simultanea

    /ip firewall address-list
    add address=216.239.32.0/19 comment=Google disabled=no list=svs_priori
    add address=64.68.80.0/21 comment=Google disabled=no list=svs_priori
    add address=66.102.0.0/20 comment=Google disabled=no list=svs_priori
    add address=64.233.160.0/19 comment=Google disabled=no list=svs_priori
    add address=172.217.0.0/16 comment=Google disabled=no list=svs_priori
    add address=108.177.0.0/17 comment=Google disabled=no list=svs_priori
    add address=66.249.64.0/19 comment=Google disabled=no list=svs_priori
    add address=72.14.192.0/18 comment=Google disabled=no list=svs_priori
    add address=209.85.128.0/17 comment=Google disabled=no list=svs_priori
    add address=198.108.100.192/28 comment=Google disabled=no list=svs_priori
    add address=173.194.0.0/16 comment=Google disabled=no list=svs_priori
    add address=216.33.229.144/29 comment=Google disabled=no list=svs_priori
    add address=216.33.229.160/29 comment=Google disabled=no list=svs_priori
    add address=209.185.108.128/25 comment=Google disabled=no list=svs_priori
    add address=70.32.128.0/19 comment=Google disabled=no list=svs_priori
    add address=216.109.75.80/28 comment=Google disabled=no list=svs_priori
    add address=64.68.88.0/21 comment=Google disabled=no list=svs_priori
    add address=64.68.64.64/26 comment=Google disabled=no list=svs_priori
    add address=64.41.221.192/28 comment=Google disabled=no list=svs_priori
    add address=74.125.0.0/16 comment=Google disabled=no list=svs_priori
    add address=207.223.160.0/20 comment=Google disabled=no list=svs_priori
    add address=108.170.192.0/18 comment=Google disabled=no list=svs_priori
    add address=216.58.192.0/19 comment=Google disabled=no list=svs_priori
    add address=208.65.152.0/22 comment=Google disabled=no list=svs_priori
    add address=64.15.112.0/20 comment=Google disabled=no list=svs_priori
    add address=208.117.224.0/19 comment=Google disabled=no list=svs_priori
    add address=189.10.0.0/15 comment="Cache OI" disabled=no list=svs_priori
    add address=189.72.0.0/14 comment="Cache OI" disabled=no list=svs_priori
    add address=69.171.224.0/19 comment=Facebook disabled=no list=svs_priori
    add address=74.119.76.0/22 comment=Facebook disabled=no list=svs_priori
    add address=204.15.20.0/22 comment=Facebook disabled=no list=svs_priori
    add address=66.220.144.0/20 comment=Facebook disabled=no list=svs_priori
    add address=69.63.176.0/20 comment=Facebook disabled=no list=svs_priori
    add address=173.252.64.0/18 comment=Facebook disabled=no list=svs_priori
    add address=199.96.56.0/21 comment=Twitter disabled=no list=svs_priori
    add address=199.59.148.0/22 comment=Twitter disabled=no list=svs_priori
    add address=199.16.156.0/22 comment=Twitter disabled=no list=svs_priori

    add address=192.168.32.2-192.168.32.254 disabled=no list=Clientes
    add address=192.168.22.2-192.168.22.254 disabled=no list=Clientes
    add address=192.168.12.2-192.168.12.254 disabled=no list=Clientes