Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #41

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    o service pack 2 do windows xp limita as conexoes do sistema para 10 .. agora nao sei se somente HTTP ou as outras...



  2. #42

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por Alexandre Correa
    nataniel...

    o patch do balabit "works fine" :P
    Alexandre,

    Eu sei, o problema é que eu não tive tempo de aplicar esse patch e nem tive disponibilidade de testar em outro servidor antes de enfiar ele dentro do meu servidor principal.

  3. #43

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Bom, sobre minha pergunta anterior nesse tópico (sobre essa questão do cache e do patch do Balabit do qual Nataniel e Alexandre Correa estao falando), eu dei uma pesquisada no google e vi que tinha relação com o TPROXY. E ai pessoal, vcs tem usado isso? Como funciona? Valeu!

  4. #44

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    tive um problema depois q limitei as coneçoes
    msn, orkut n quer + abrir em algums clientes
    tem como resolver isso?

  5. #45

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por Snake_jp
    tive um problema depois q limitei as coneçoes
    msn, orkut n quer + abrir em algums clientes
    tem como resolver isso?
    Da um print na sua regra pra ve se tem algo errado

  6. #46

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Bom, acho que primeiramente você deveria retirar o limite de conexões para que seus clientes voltem a ter o acesso normalizado, ai depois vc faz mais alguns testes

  7. #47

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    minha regra e esta:
    /ip firewall filter add chain=forward Src.adress=192.168.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
    depois q fiz isso ouve problemas no msn e orkut deixou de abrir em alguns clientes

  8. #48

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por Snake_jp
    minha regra e esta:
    /ip firewall filter add chain=forward Src.adress=192.168.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop
    depois q fiz isso ouve problemas no msn e orkut deixou de abrir em alguns clientes
    Bom ta tudo certo.
    ja tive algum problema do tipo do seu, descobri o seguinte, fui em ip >>firewall >>connections e deletei todas as conn. ai volto ao normal.Estou esperando o problema novamente pra estuda o caso.

    tenta ai..............

  9. #49

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    cabeer,

    Eu também tive esse problema. Limitei meus clientes a 30 conexões TCP (flag syn) e alguns tiveram problemas com a conexão que depois de um tempo parava completamente de navegar. Achei estranho e desabilitei o limite. Notei isso em clientes PPPoE (eu so uso PPPoE) mas no mesmo cliente se eu usasse o login dele não abria nada (mas ping ok) já se eu colocasse qualquer outro login navegava na boa.

    Detalhe: meu PPPoE tenta atribuir sempre o mesmo ip para o mesmo login. Caso não haja possibilidade ele troca o IP. Quando troquei o login ele mudou o IP e pimba... Funcionou.

    Tive esse problemas em dois clientes e AMBOS são heavy-users em P2P.

  10. #50

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    tentem limitar pelas portas de destino acima de 1024 (tipo, 1024:65535, que é aí que o bixo pega)...

    Outra coisa, tenta tirar da regra o Src-Address e colocar a interface de entrada das requisições e mantenha a máscara 32 (connection-limit=15,32 -> o primeiro é o número de con. simultaneas e o segundo número é a máscara de sub-rede, no caso /32 significa ip por ip, ou seja, cada ip da sua rede terá 15 conex. simultaneas)...

  11. #51

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    roney,

    Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.

    Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).

    Veja só como eu criei a regra:

    Código :
    [[email protected]] > /ip firewall filter print 
    Flags: X - disabled, I - invalid, D - dynamic 
     0  chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32 
       action=drop 
    [[email protected]] >

    Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?

  12. #52

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por nataniel
    roney,

    Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
    acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...

    abraços..até

  13. #53

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!

    Refiz a regra assim:

    Código :
    [[email protected]] ip firewall filter> print 
    Flags: X - disabled, I - invalid, D - dynamic 
     0  chain=forward protocol=tcp dst-port=53 action=accept 
     
     1  chain=forward protocol=tcp dst-port=80 action=accept 
     
     2  chain=forward protocol=tcp dst-port=443 action=accept 
     
     3  chain=forward protocol=tcp dst-port=1863 action=accept 
     
     4  chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop 
    [[email protected]] ip firewall filter>

    Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...

  14. #54

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...

    flws...até

  15. #55

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.

    Quanto às portas, eu bloqueio assim:

    - de 2000 até 3027 (pra livrar o proxy = 3028)
    - de 3029 até 65535 (depois do proxy, até a última porta TCP).

    Lembrando que o connlimit só funciona para o protocolo TCP.

  16. #56

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Não consigo fazer minha regra funcionar... estou com conexões estabilizadas a 4 dias com uma lista imansa, coloquei a regra que o pessoal disse em filter, mas nada... Não filtra 1 Byte se quer...

    Ae está minha regra:
    chain=forward src-address=10.0.1.0/24 protocol=tcp tcp-flags=syn connection-limit=15,32 action=drop

    Preciso de ajuda...

    Grato

    Thiago

  17. #57

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por nataniel
    Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!

    Refiz a regra assim:

    Código :
    [[email protected]] ip firewall filter> print 
    Flags: X - disabled, I - invalid, D - dynamic 
     0 chain=forward protocol=tcp dst-port=53 action=accept 
     
     1 chain=forward protocol=tcp dst-port=80 action=accept 
     
     2 chain=forward protocol=tcp dst-port=443 action=accept 
     
     3 chain=forward protocol=tcp dst-port=1863 action=accept 
     
     4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop 
    [[email protected]] ip firewall filter>

    Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
    Acho q é como o Mr_Dom falo ninguem estaria ultrapassando a quantidade de conn. no momento.


    inte..............

  18. #58

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    pessoal...

    tem alguem ae q ta com problemas de packet reject devido ao numero imenso de conexoes simultaneas...?

    pois li alguma coisa q a cada 128mb de ram ele suporta em torno de 7500 conexoes (me corrijam se tiver errado)...depois disso ele começa a "estourar a mem" ae trava todas as conexões...vc reinicia a maquina e volta tudo ao normal...por isso a necessidade de se usar limite de conexões...mas aqui tmb naum consegui implementar nda q fungue legal...

    lembrando q por exemplo se o camarada tiver usando algum prog de p2p...quando for baixar alguma coisa ele ja abre umas 20 conexao...se tiver msn tmb...quando for querer usar o browser naum vai dar...teriamos q achar uma solução pra isso..


    se alguem tiver uma idéia por favor nos passe..q vai ajudar a muitos...


    atéeeeee

  19. #59

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Citação Postado originalmente por roneyeduardo
    Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.

    Quanto às portas, eu bloqueio assim:

    - de 2000 até 3027 (pra livrar o proxy = 3028)
    - de 3029 até 65535 (depois do proxy, até a última porta TCP).

    Lembrando que o connlimit só funciona para o protocolo TCP.
    roney,

    Eu não posso usar pelo seguinte, se eu limitar pela interface de entrada (nome local) eu estarei limitando tudo que é ip que entrar por essa interface, concorda?

    Pensando assim então a rede que eu quero limitar 200.140.222.128/25 será perfeitamente limitada, ip por ip, MAS as redes 200.163.208.116/30 e 200.163.208.120/30 também serão limitadas pois elas entram pela mesma interface e isso não pode acontecer pois estas são redes empresárias que NÃO tem limite de conexões simultâneas (links dedicados).

    PS.: Meu marcadores da rede com portas mexeram de ontem pra hoje... Eita nois!

  20. #60

    Padrão Re: Acho que todos gostariam de tirar essa duvida?

    Ah tá Nata...saquei...Bom, quanto à questão que o MR_DOM levantou, quanto ao browser, o jeito mesmo é trabalhar em cima das portas...como eu tinha explicado anteriormente...