+ Responder ao Tópico



  1. Não consigo fazer minha regra funcionar... estou com conexões estabilizadas a 4 dias com uma lista imansa, coloquei a regra que o pessoal disse em filter, mas nada... Não filtra 1 Byte se quer...

    Ae está minha regra:
    chain=forward src-address=10.0.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop

    Preciso de ajuda...

    Grato

    Thiago

  2. Citação Postado originalmente por nataniel
    Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!

    Refiz a regra assim:

    Código :
    [admin@elj.cnett.com.br] ip firewall filter> print 
    Flags: X - disabled, I - invalid, D - dynamic 
     0 chain=forward protocol=tcp dst-port=53 action=accept 
     
     1 chain=forward protocol=tcp dst-port=80 action=accept 
     
     2 chain=forward protocol=tcp dst-port=443 action=accept 
     
     3 chain=forward protocol=tcp dst-port=1863 action=accept 
     
     4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop 
    [admin@elj.cnett.com.br] ip firewall filter>

    Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
    Acho q é como o Mr_Dom falo ninguem estaria ultrapassando a quantidade de conn. no momento.


    inte..............



  3. pessoal...

    tem alguem ae q ta com problemas de packet reject devido ao numero imenso de conexoes simultaneas...?

    pois li alguma coisa q a cada 128mb de ram ele suporta em torno de 7500 conexoes (me corrijam se tiver errado)...depois disso ele começa a "estourar a mem" ae trava todas as conexões...vc reinicia a maquina e volta tudo ao normal...por isso a necessidade de se usar limite de conexões...mas aqui tmb naum consegui implementar nda q fungue legal...

    lembrando q por exemplo se o camarada tiver usando algum prog de p2p...quando for baixar alguma coisa ele ja abre umas 20 conexao...se tiver msn tmb...quando for querer usar o browser naum vai dar...teriamos q achar uma solução pra isso..


    se alguem tiver uma idéia por favor nos passe..q vai ajudar a muitos...


    atéeeeee

  4. Citação Postado originalmente por roneyeduardo
    Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.

    Quanto às portas, eu bloqueio assim:

    - de 2000 até 3027 (pra livrar o proxy = 3028)
    - de 3029 até 65535 (depois do proxy, até a última porta TCP).

    Lembrando que o connlimit só funciona para o protocolo TCP.
    roney,

    Eu não posso usar pelo seguinte, se eu limitar pela interface de entrada (nome local) eu estarei limitando tudo que é ip que entrar por essa interface, concorda?

    Pensando assim então a rede que eu quero limitar 200.140.222.128/25 será perfeitamente limitada, ip por ip, MAS as redes 200.163.208.116/30 e 200.163.208.120/30 também serão limitadas pois elas entram pela mesma interface e isso não pode acontecer pois estas são redes empresárias que NÃO tem limite de conexões simultâneas (links dedicados).

    PS.: Meu marcadores da rede com portas mexeram de ontem pra hoje... Eita nois!



  5. Ah tá Nata...saquei...Bom, quanto à questão que o MR_DOM levantou, quanto ao browser, o jeito mesmo é trabalhar em cima das portas...como eu tinha explicado anteriormente...






Tópicos Similares

  1. Respostas: 5
    Último Post: 18-10-2007, 23:47
  2. Dúvidas que todos têm.. eu acho. colaborem
    Por alamdias no fórum Redes
    Respostas: 8
    Último Post: 22-12-2006, 16:21
  3. Respostas: 4
    Último Post: 10-03-2006, 07:02
  4. Monitoramento de CPU e Memória (acho que não é esse fórum)
    Por nataniel no fórum Servidores de Rede
    Respostas: 2
    Último Post: 11-10-2005, 06:40
  5. Gostaria de tirar uma duvida..
    Por Mercenario.. Linux no fórum Servidores de Rede
    Respostas: 2
    Último Post: 23-12-2004, 00:59

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L