Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Aê pessoal, muito se tem discutido aqui no fórum do Underlinux sobre esse tipo de implementação, suas implicações e uso, etc...Tanto aqui na seção Proxy/NAT/Firewal, quanto nas seções Wireless/Mikrotik há ainda muitas dúvidas quanto sua aplicabilidade. Bom, resolvi então escrever meu relato de como estou usando o connlimit aqui, tanto no aspecto de como tenho implementado, como tenho feito para solucionar problemas e também sobre como não gerar problemas com seu uso.

    Bom, a minha necessidade de fazer essa implementação foi pelo fato de simplesmente não conseguir oferecer acesso à redes p2p (emule, kazaa, etc..) para meus clientes (sou um provedor de internet), visto que um único cliente, com o emule funcionando, por exemplo, abre mais de 250 conexões simultâneas, isso baixando apenas um único arquivo...imagina então um tarado com uma fila de uns 50~100 arquivos...ai já era. Os rádios nas minhas repetidoras simplesmente não aguentavam tantas requisições simultâneas...Dava latência alta, desconexões...

    Então, analisando o tráfego desse tipo de software, eu percebi que tinha que atacar diretamente o fato deles abrirem muitas conexões simultâneas. Então corri atrás de recompilar meu kernel e o meu iptables com o pom (patch-o-matic) e adicionar o módulo CONNLIMIT.

    Aqui eu uso um servidor CentOS como gateway de acesso, controle de banda e firewall.

    A implementação, basicamente no firewall (vou postar aqui somente o que se refere ao connlimit), foi essa:

    1) Crio uma cadeia chamada CONNLIMIT:

    iptables -N CONNLIMIT

    2) Redireciono todos os acessos (portas) que gostaria de limitar para a cadeia CONNLIMIT (no caso, as portas acima de 1024, basicamente, visto que esses softwares tarado usam portas altas, porém, tomando cuidado de deixar fora do controle as portas de serviços conhecidos, como MSN e afins, jogos on-line, vnc, proxy, etc...vou dar alguns exemplos):

    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT (excluindo o MSN = 1863)
    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT (excluindo a porta do proxy = 3128)
    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT (excluindo a porta do VNC = 5600)
    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:5899 -j CONNLIMIT (excluindo outra porta do VNC = 5900)
    iptables -A FORWARD -p TCP -d 0/0 --dport 5901:7776 -j CONNLIMIT (excluindo o jogo on-line Lineage = 7777)

    e assim por diante, eu faço "ranges" de IP que excluam as portas de serviços "saudáveis". Ah, e eu também uso o "-p TCP" ou seja, trabalhando apenas com o protocolo TCP, pois o CONNLIMIT só funciona com TCP. Existia um tempo atrás um módulo UDPLIMIT, mas ele é antigo, não sei se dá pra aplicar ele no kernel e no iptables mais recentes...

    3) Agora como todo esse acesso tá passando pela cadeia CONNLIMIT, eu aplico nela a limitação:

    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

    Aqui é que tá o segredo do negócio...hehehe...seguinte:

    obs1: "-m state ! --state RELATED" = usando isso, eu não incluo no DROP os pacotes que forem de retorno, ou seja, se você acessa um site (na porta 80), quando ele mandar uma resposta pra você, ele vai responder nas portas altas (acima de 1024), então, como essa conexão é uma conexão de retorno, excluindo o RELATED não aplica o connlimit, evitando problemas na navegação (principalmente de clientes com rede cheia de computador e com muita requisição - frisando que pra mim, esse cliente é um único IP, porém seus computadores estão todos por trás de NAT.

    obs2: "--connlimit-above 12" = diz que o máximo é 12 conexões simultâneas.

    obs3: "--connlimit-mask 32" = diz que ele vai tratar todos os IPs que passarem pela regra serão tratados isoladamente (ou seja, com a máscara /32, ou, 255.255.255.255), o que significa que serão 12 conexões simultâneas por IP -> 12 por cliente.

    Bom é isso. Agora rola p2p na rede, sem prejudicar a qualidade, sem derrubar repetidora, etc, etc...Mesmo quem insista que os software p2p usem portas UDP, e o connlimit não limita UDP, o tráfego UDP é sempre muito menor que o tráfego TCP, da ordem de 1/4 + ou - , ou seja, limitando o número de conexões simultâneas TCP, o número de conexões UDP ficam limitadas aqui.

    Vou mostrar também agora alguns dados.

    Usando o aplicativo IPTSTATE, eu posso listar todas as conexões ativas por IP, todas as conexões ativas no geral (de todos os clientes), etc..então, com ele, eu posso analisar aqui as conexões simultâneas. Então ai vão alguns dados (obs1: eu sempre vou analisar somente as conexões ESTABLISHED - estabelecidas - as demais - CLOSED, TIME WAIT, etc. - eu vou deixar de fora, já que não interessam):

    1) Quantidade conexões simultâneas (num cliente que tá com p2p ligado agora):

    # iptstate -s | grep 10.0.0.6 | grep ESTAB

    10.0.0.6,1040 207.46.110.87,1863 tcp ESTABLISHED (porta excluida) - msn
    10.0.0.6,4172 201.72.219.110,4662 tcp ESTABLISHED (1) - emule
    10.0.0.6,4173 200.233.133.1,4662 tcp ESTABLISHED (2) - emule
    10.0.0.6,4183 201.69.97.126,4662 tcp ESTABLISHED (3) - emule
    10.0.0.6,1046 207.46.111.69,1863 tcp ESTABLISHED (porta excluida) - msn
    10.0.0.6,3626 201.50.84.53,4662 tcp ESTABLISHED (4) - emule
    10.0.0.6,3948 201.215.155.80,4662 tcp ESTABLISHED (5) - emule
    10.0.0.6,4170 62.10.87.177,5806 tcp ESTABLISHED (6) - emule
    10.0.0.6,2337 207.46.27.79,1863 tcp ESTABLISHED (porta excluida) - msn
    10.0.0.6,3387 81.169.143.167,7777 tcp ESTABLISHED (7) - emule
    200.211.148.33,3028 10.0.0.6,1353 tcp ESTABLISHED (porta excluida) - proxy
    10.0.0.6,4291 82.158.203.9,28043 tcp ESTABLISHED (8) - não sei o que é
    10.0.0.6,3387 81.169.143.167,7777 tcp ESTABLISHED (porta excluida) - jogo on-line
    10.0.0.6,4266 201.20.241.170,22493 tcp ESTABLISHED (9) - nao sei o que é
    10.0.0.6,4340 201.221.26.22,82 tcp ESTABLISHED (porta excluida)

    Então, são 16 conexões simultâneas, porém apenas 9 entram no bloqueio/limite...ainda tem espaço pra mais 3 de p2p por exemplo...as portas excluidas são aquelas que não passam pelo CONNLIMIT.

    2) Quantidade de conexões simultâneas no geral de uma repetidora (com 176 clientes):

    # iptstate -s | grep ESTAB | wc -l = 2610

    então: Qtde. de clientes * 12 = 176 * 12 = 2112

    Qtde. de conex. na porta 80 (navegação):

    # iptstate -s | grep ESTAB | grep ",80 " = 934

    Qtde. de conex. na porta 1863 (MSN - o mais usado hehehehe):

    # iptstate -s | grep ESTAB | grep ",1863 " = 605

    Qtde. de conex. na porta 443 (páginas com SSL)

    # iptstate -s | grep ESTAB | grep ",443 " = 176

    Bom, a maioria dos acessos, como dá pra ver, são de portas saudáveis...o resto eu ainda nem contabilizei, e ainda tô fazendo isso num horário de folga, sem muito uso!

    Bom, a intenção desse mini-artigo é dar uma idéia de como é implementar o connlimit (visto que há muita discussão por aqui sobre isso) e também de mostrar como fazer pra analisar essa questão das conexões simultâneas e como fazer pra atacar essa situação, deixando sua rede mais saudável, porém, sem prejudicar alguns serviços essenciais.

    T+ galera, qualquer coisa tô na área. Por favor, façam seus testes e postem os resultado!

  2. Muita bacana roneyeduardo ficou bem explicado.
    So me responde uma coisa, aonde colocou o JUMP jogando os pracotes de quais chains para a CONNLIMIT ?
    FORWORD apenas?



  3. Isso, tô fazendo esse JUMP apenas na cadeia FORWARD e tá rolando beleza...o interessante tbm fica por conta da ferramenta IPTSTATE associado ao GREP, assim você pode analisar todos os aspectos e ter visão bacana de como tudo está acontecendo!! Como eu sei que você usa Mikrotik, acho que dá pra você levar pra lá os conceitos, de criar uma nova cadeia no firewall, fazer o Jump, e usar o connlimit nas portas desejadas, fazendo as devidas exclusões!

  4. o cabra...

    interessante isso..

    vc podia criar um wiki para essa matéria..

    valeu



  5. Vou tentar botar no Wiki...






Tópicos Similares

  1. deixar vnc ou ultravnc fora do controle de banda
    Por masterbeto no fórum Redes
    Respostas: 3
    Último Post: 29-09-2007, 01:44
  2. Medidor de velocidae fora do controle de banda...
    Por tiagomatias no fórum Redes
    Respostas: 8
    Último Post: 26-09-2007, 21:30
  3. LIberar IP do Controle de MAc
    Por uoquisala no fórum Servidores de Rede
    Respostas: 2
    Último Post: 21-09-2007, 15:57
  4. Queda de performance de uso do sistema.
    Por Bit no fórum Servidores de Rede
    Respostas: 1
    Último Post: 27-08-2005, 22:45
  5. relatorio de uso do samaba
    Por icefox no fórum Servidores de Rede
    Respostas: 0
    Último Post: 13-02-2005, 14:24

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L