+ Responder ao Tópico



  1. #61

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Roney, quando vc fala em tirar o src e colocar a interface de entrada, vc está falando da interface de entrada do link ou na interface de entrada dos clientes, pois imagino que se eu por o filter na interface de entrada do link estarei limitando o numero de conecções da interface de entrada dos meus clientes que no caso seria o meu gateway para meus clientes...

    aqui tenho 03 interfaces:
    Public = entrada do link
    Local = Entrada dos Clientes
    Wireless = Entrada dos cliente

    em qual desas interfaces devo colocar o filter?
    na public? ou fazer um filter para a interface local e outro para a wireless?

  2. #62

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Aqui implentamos da seguinte forma:
    chain=forward src-address=192.168.57.0/24 protocol=tcp connection-limit=30,32 action=drop

    Obs.: Se você tiver mais que uma faixa de ip's na saida, pode deixar sem o src-address (Nesse modelo citado, pegaria somente determinada rede .57.0)
    Obs.: Se você perceber que não gera trafego de pacotes nessa regra, provavelmente é porque os clientes nao esteja passando do limite de conexões. Faça um teste reduzindo o numero de conexões para 5, e verá que realmente funciona.

    Quanto ao número de conexões estabelecidas la no:
    Ip > Firewall > Connections, pode-se reduzir a quantidade mostrada , clicando em Tracking, e mudando o TCP Estabilshid Time Out (para 1d). Geralmente está em 4d

    Agora vem a dúvida sobre isso:
    Alterando para 1 dia, o Mikrotik apenas não estará mais mostrando as demais, ou ele realmente derruba a conexão no tempo marcado? Eu imagino que derrube, mas gostaria de ter certeza.



  3. #63

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Na interface dos clientes...Na verdade aqui eu crio uma chain chamada connlimit, e redirecino pra ela todos os acessos das portas altas (acima de 1024), com exceção de algumas portas de serviço "saudáveis", como VNC (5600,5800,5900), MSN (1863), SQUID (3128), jogos on-line e outras coisinhas que vão aparecendo...ai é nessa nova cadeia que eu faço o Connlimit, ai eu usso 8,32 (no caso, 8 Conexões simultâneas e aplicando a máscara /32 para qualquer IP que passar pela interface, sendo assim, eu dou 8 conexões simultâneas por IP / cliente). Mesmo colocando esse limit de apenas 8, eu não prejudico clientes com rede grande, pois como falei, eu excluo da limitação os serviços mais utilizados, deixando só as porcarias (AKA p2p) sendo limitadas.

  4. #64
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.410
    Posts de Blog
    10

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Achei interessante desse jeito. Vc poderia detalhar mais para eu tentar aqui......
    Outra coisa ñ existe como bloquear as conexões simultaneas em outros protocolos tipo (UDP) ????



  5. #65

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Olha só pessoal, eu criei um mini-artigo conceitual sobre o Uso do CONNLIMIT (que é essa implementação de limitação no número de conexões simultâneas)...Ele é voltado para distrubuições linux no geral, mas como é bastante conceitual, dá pra aplicar a idéia ao Mikrotik. Então, tá ai:

    https://under-linux.org/wiki/index.p...nnlimit_How_To

  6. #66
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.410
    Posts de Blog
    10

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Olá RolneyEduardo o arquivo foi retirado do link indicado.