Página 4 de 4 PrimeiroPrimeiro 1234
+ Responder ao Tópico



  1. #61

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Roney, quando vc fala em tirar o src e colocar a interface de entrada, vc está falando da interface de entrada do link ou na interface de entrada dos clientes, pois imagino que se eu por o filter na interface de entrada do link estarei limitando o numero de conecções da interface de entrada dos meus clientes que no caso seria o meu gateway para meus clientes...

    aqui tenho 03 interfaces:
    Public = entrada do link
    Local = Entrada dos Clientes
    Wireless = Entrada dos cliente

    em qual desas interfaces devo colocar o filter?
    na public? ou fazer um filter para a interface local e outro para a wireless?

  2. #62

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Aqui implentamos da seguinte forma:
    chain=forward src-address=192.168.57.0/24 protocol=tcp connection-limit=30,32 action=drop

    Obs.: Se você tiver mais que uma faixa de ip's na saida, pode deixar sem o src-address (Nesse modelo citado, pegaria somente determinada rede .57.0)
    Obs.: Se você perceber que não gera trafego de pacotes nessa regra, provavelmente é porque os clientes nao esteja passando do limite de conexões. Faça um teste reduzindo o numero de conexões para 5, e verá que realmente funciona.

    Quanto ao número de conexões estabelecidas la no:
    Ip > Firewall > Connections, pode-se reduzir a quantidade mostrada , clicando em Tracking, e mudando o TCP Estabilshid Time Out (para 1d). Geralmente está em 4d

    Agora vem a dúvida sobre isso:
    Alterando para 1 dia, o Mikrotik apenas não estará mais mostrando as demais, ou ele realmente derruba a conexão no tempo marcado? Eu imagino que derrube, mas gostaria de ter certeza.



  3. #63

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Na interface dos clientes...Na verdade aqui eu crio uma chain chamada connlimit, e redirecino pra ela todos os acessos das portas altas (acima de 1024), com exceção de algumas portas de serviço "saudáveis", como VNC (5600,5800,5900), MSN (1863), SQUID (3128), jogos on-line e outras coisinhas que vão aparecendo...ai é nessa nova cadeia que eu faço o Connlimit, ai eu usso 8,32 (no caso, 8 Conexões simultâneas e aplicando a máscara /32 para qualquer IP que passar pela interface, sendo assim, eu dou 8 conexões simultâneas por IP / cliente). Mesmo colocando esse limit de apenas 8, eu não prejudico clientes com rede grande, pois como falei, eu excluo da limitação os serviços mais utilizados, deixando só as porcarias (AKA p2p) sendo limitadas.

  4. #64
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.409
    Posts de Blog
    10

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Achei interessante desse jeito. Vc poderia detalhar mais para eu tentar aqui......
    Outra coisa ñ existe como bloquear as conexões simultaneas em outros protocolos tipo (UDP) ????



  5. #65

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Olha só pessoal, eu criei um mini-artigo conceitual sobre o Uso do CONNLIMIT (que é essa implementação de limitação no número de conexões simultâneas)...Ele é voltado para distrubuições linux no geral, mas como é bastante conceitual, dá pra aplicar a idéia ao Mikrotik. Então, tá ai:

    https://under-linux.org/wiki/index.p...nnlimit_How_To

  6. #66
    Moderador Avatar de minelli
    Ingresso
    Aug 2006
    Localização
    Pres. Venceslau - SP | Pres. Prudente - SP
    Posts
    1.409
    Posts de Blog
    10

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Olá RolneyEduardo o arquivo foi retirado do link indicado.



  7. #67
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.202
    Posts de Blog
    9

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por minelli
    Olá RolneyEduardo o arquivo foi retirado do link indicado.
    https://under-linux.org/wiki/index.p...do_o_Connlimit

  8. #68

    Padrão alguem onseguiu fazer no mk .

    coloquei as regras de cinexoes simultaneas pra cada ip da rede 40 pra cada .. sendo assim um kazaa usa todoas as poras e o coiente nao abre site .. e nem msn . presiso liveirar p2p 30 conexos simult no mk o resto deixa passa



  9. #69

    Thumbs up

    Citação Postado originalmente por cabeer Ver Post
    Acretito q dp da regra nunca testei , ak criei um outro range de ip tipo 172.x.x.x ai esse fica fora da rgegra
    Que tal criar um laço ? para cada IP ele dar 20,15,30, quantas conexoes vc quiser !!!

    /firewall filter# :for i from=2 to=254 do={ ip firewall filter add chain=forward src-address=("10.0.0." . $i) protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="controle de conexão por cliente "}

    espero ter ajudado !