desconectar Cliente com muitas conexões

[eduardi]

precisava de um script que desconecta-se cliente quando este, por ex: ligado com 100 conexões, existe algo? , obrigado

[DigauMMM]

Boa tarde,

Não compensaria você fazer uma regra no seu gateway que limite o numero de conexões simultaneas? Qual o seu Roteador de borda?

Att. Rodrigo

[eduardi]

rb1100ah

[betopcx]

Qual o intuito de desconectar o cliente por determinado numeros de conexões?
Será que os clientes ficarão mais tranquilos?
É por PPPoE?
É por hotspot, teram que digitar login e senha toda vez?
Vai deixar os cookies habilitados?
Se sim, não surtirá o efeito requirido!

Bom talvez seja melhor considerar outras soluções, ex: limitar o número de conexões por cliente, na pratica estes recursos utilizados de forma errada surtiram um efeito inverso do esperado!

Explique melhor para ver se consigo te ajudar!



BETOPCX LTDA.

Paulo Roberto (41) 9905-1630
Administrador de redes e servidores.

Grandes problemas exigem soluções maiores ainda!

[dmknob]

Limitar o número de conexões simultâneas me parece melhor.
E ainda tem umas regras pro mangle pra marcar os pacotes das portas mais usadas (21,22,23,25,80,110,443,..) pra não limitar elas.
Então, se o camarada abrir um torrent, vai estourar o limite de conexões mas não vai parar de abrir os sites que ele ta navegando..

[betopcx]

Limitar o número de conexões simultâneas me parece melhor.
E ainda tem umas regras pro mangle pra marcar os pacotes das portas mais usadas (21,22,23,25,80,110,443,..) pra não limitar elas.
Então, se o camarada abrir um torrent, vai estourar o limite de conexões mas não vai parar de abrir os sites que ele ta navegando..

Muito bem colocada esta dica das portas para não prejudicar serviços essenciais!

[dmknob]

Segue as regras que um colega do fórum me passou, num tópico a uns dias atrás.
Pra mim tem funcionado muito bem (aqui tenho com mais uma pra logar quando ele dropa um pacote que cai na regra, pra ver ela atuando).

Código :

/ip firewall mangle
add action=mark-packet chain=forward comment="Marcando Pacotes Sem Limite Conexao" disabled=no dst-port=21 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=22 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=23 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=25 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=53 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=80 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=110 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=443 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=587 new-packet-mark=semlimite passthrough=yes protocol=tcp
 
/ip firewall filter
add action=drop chain=forward comment="Limitando numero conexoes simultaneas" connection-limit=30,32 disabled=no packet-mark=!semlimite protocol=tcp tcp-flags=syn

---

Créditos:
https://under-linux.org/showthread.p...029#post655029

[eduardi]

Obrigado, o problema é que muitas das conexões são UDP, alguma forma de so abrir as portas necessárias, udp e tcp.

[AndrioPJ]

Segue as regras que um colega do fórum me passou, num tópico a uns dias atrás.
Pra mim tem funcionado muito bem (aqui tenho com mais uma pra logar quando ele dropa um pacote que cai na regra, pra ver ela atuando).

Código :

/ip firewall mangle
add action=mark-packet chain=forward comment="Marcando Pacotes Sem Limite Conexao" disabled=no dst-port=21 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=22 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=23 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=25 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=53 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=80 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=110 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=443 new-packet-mark=semlimite passthrough=yes protocol=tcp
add action=mark-packet chain=forward disabled=no dst-port=587 new-packet-mark=semlimite passthrough=yes protocol=tcp
 
/ip firewall filter
add action=drop chain=forward comment="Limitando numero conexoes simultaneas" connection-limit=30,32 disabled=no packet-mark=!semlimite protocol=tcp tcp-flags=syn

---

Créditos:
https://under-linux.org/showthread.p...029#post655029

Dica para regra unica:


/ip firewall filteradd action=drop chain=forward dst-port=!22,23,25,53,80,110,443,587 comment="Limitando numero conexoes simultaneas" connection-limit=30,32 disabled=no packet-mark=!semlimite protocol=tcp tcp-flags=synEssa regra vai limitar todas as conexões que tenham QUALQUER porta de destinho DIFERENTE de 22,23,25,53,80,110,443,587

[eduardi]

obrigado, essa regra funciona para conexões UDP?

[AndrioPJ]

obrigado, essa regra funciona para conexões UDP?

Não, essa regra é para conexões TCP