+ Responder ao Tópico



  1. roney,

    Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.

    Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).

    Veja só como eu criei a regra:

    Código :
    [admin@elj.cnett.com.br] > /ip firewall filter print 
    Flags: X - disabled, I - invalid, D - dynamic 
     0  chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32 
       action=drop 
    [admin@elj.cnett.com.br] >

    Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?

  2. Citação Postado originalmente por nataniel
    roney,

    Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
    acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...

    abraços..até



  3. Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!

    Refiz a regra assim:

    Código :
    [admin@elj.cnett.com.br] ip firewall filter> print 
    Flags: X - disabled, I - invalid, D - dynamic 
     0  chain=forward protocol=tcp dst-port=53 action=accept 
     
     1  chain=forward protocol=tcp dst-port=80 action=accept 
     
     2  chain=forward protocol=tcp dst-port=443 action=accept 
     
     3  chain=forward protocol=tcp dst-port=1863 action=accept 
     
     4  chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop 
    [admin@elj.cnett.com.br] ip firewall filter>

    Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...

  4. se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...

    flws...até



  5. Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.

    Quanto às portas, eu bloqueio assim:

    - de 2000 até 3027 (pra livrar o proxy = 3028)
    - de 3029 até 65535 (depois do proxy, até a última porta TCP).

    Lembrando que o connlimit só funciona para o protocolo TCP.






Tópicos Similares

  1. Respostas: 5
    Último Post: 18-10-2007, 23:47
  2. Dúvidas que todos têm.. eu acho. colaborem
    Por alamdias no fórum Redes
    Respostas: 8
    Último Post: 22-12-2006, 16:21
  3. Respostas: 4
    Último Post: 10-03-2006, 07:02
  4. Monitoramento de CPU e Memória (acho que não é esse fórum)
    Por nataniel no fórum Servidores de Rede
    Respostas: 2
    Último Post: 11-10-2005, 06:40
  5. Gostaria de tirar uma duvida..
    Por Mercenario.. Linux no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-12-2004, 00:59

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L