+ Responder ao Tópico



  1. #1

    Thumbs up Como fazer bloqueio de conexões simultâneas para P2P ?

    Gente seguinte, pode até ser simples mas não consigo fazer o bloquio de conecções simultanias para P2P na rede já fiz controle de banda marcação de pacotes "entrada e saida" limitação tudo certinho mas mesmo assim o P2P abrem muitas portas, mesmo sabendo que alguns P2P passam tranquilamente pelo controle sem restriçoes seria interressante se alguém que saiba nos ajudar nesta questão de controle de conecções simultanias...

    Abraços
    Última edição por Briza; 24-02-2007 às 17:40. Razão: Erro de expressão

  2. #2

    Padrão

    Amigo, tem muita discussão sobre isso, tenta o seguinte:
    adiciona essa regra na tua rede, em ip > firewall > filter
    chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn
    connection-limit=20,32 action=drop
    Dessa forma vocÊ limita todas as maquinas da rede a 20 requisições simultâneas, serve para todas as portas, se você querer somente as referentes aos p2p lista em dst-port de 1024-65535, pois os p2p usam em sua maioria somente as portas altas.



  3. #3

    Padrão

    Citação Postado originalmente por Josevaldo Ver Post
    Amigo, tem muita discussão sobre isso, tenta o seguinte:
    adiciona essa regra na tua rede, em ip > firewall > filter
    chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn
    connection-limit=20,32 action=drop
    Dessa forma vocÊ limita todas as maquinas da rede a 20 requisições simultâneas, serve para todas as portas, se você querer somente as referentes aos p2p lista em dst-port de 1024-65535, pois os p2p usam em sua maioria somente as portas altas.
    A regra seria esta acima, mas faltou colocar em "market packet" o P2P.... Neste caso, ele limitará para todas as portas.... Selecionando "packet mark" ou "connection mark" ele irá aplicar somente nos pacotes ou conexões marcados (P2P)...

  4. #4
    Avatar de marcelomg
    Ingresso
    Jan 2006
    Localização
    São Lourenço do Sul, Brazil
    Posts
    1.476

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    A regra seria esta acima, mas faltou colocar em "market packet" o P2P.... Neste caso, ele limitará para todas as portas.... Selecionando "packet mark" ou "connection mark" ele irá aplicar somente nos pacotes ou conexões marcados (P2P)...
    Tambem não teria que remover o controle nas portas e deixar nas portas como defalt?



  5. #5

    Padrão

    Citação Postado originalmente por marcelomg Ver Post
    Tambem não teria que remover o controle nas portas e deixar nas portas como defalt?
    Rssssssssssss..... Não li esta parte, mas valeu!!! Isso mesmo......

  6. #6

    Thumbs up Postar o resultado

    Bloquear a rede atravez de 20 conecçoes simultanias que seria o serto estou fazendo por clientes na faixa final 24 e estou tendo susseço funciona bem vou tentar fazer o que o amigo postou e posto aki o resultado Valeu...



  7. #7

    Padrão

    Citação Postado originalmente por Briza Ver Post
    Bloquear a rede atravez de 20 conecçoes simultanias que seria o serto estou fazendo por clientes na faixa final 24 e estou tendo susseço funciona bem vou tentar fazer o que o amigo postou e posto aki o resultado Valeu...
    No meu ver acho que 20 ainda serria muito... Como nosso amigo marcelomg acima sitou em outro tópico (e por falta de atenção minha, passou despercebido), esta regra limitaria sim, em cada conexão, outras que supostamente fossem abertas (pela primeira)... Acho que 10 ou 5 seria legal, pois devido utilizarmos o comando "syn" em TCP Flags, a regra só funciona mesmo quando abre-se uma conexão....


    ''Flags do TCP/IP''
    Flags para o potuguês, seria bandeiras, vamos estudar os flags do TCP/IP.
    Bem, o pacote TCP tem vários campos, nele a um reservado para os flags. Os flags servem para começar, resetar conexões entre outros. Cada flag funçiona como um semáforo, e são eles:
    Um flag pode conter: SYN, ACK, RST, FIN.
    SYN: Serve para iniciar uma conexão.
    ACK: Da continuidade a uma conexão.
    RST: Reseta a conexão caso haja algum problema.
    FIN: O FIN só termina.
    Uma conexão simples com um servidor da WEB seria mais ou menos assim:
    Você envia um SYN para o servidor, o servidor manda um ACK e um SYN para você, então, se continua enviando um ACK. Pronto, vocês estão conectados. Mas se houver algum problema, alguem vai mandar um RST para o outro. Ou então, vocês trocaram toda as informações e queiram terminar a conexão é só mandar um FIN.
    Última edição por catvbrasil; 26-02-2007 às 09:46.

  8. #8

    Padrão

    Citação Postado originalmente por Josevaldo Ver Post
    Amigo, tem muita discussão sobre isso, tenta o seguinte:
    adiciona essa regra na tua rede, em ip > firewall > filter
    chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn
    connection-limit=20,32 action=drop
    Dessa forma vocÊ limita todas as maquinas da rede a 20 requisições simultâneas, serve para todas as portas, se você querer somente as referentes aos p2p lista em dst-port de 1024-65535, pois os p2p usam em sua maioria somente as portas altas.
    Desculpe, mas ficou meio confuso. Nessa regra vc atribuiu 20 conexões simultâneas entre as portas 1024-65535 para CADA máquina da rede ou 20 conexões siumultâneas para TODAS ?



  9. #9

    Padrão

    Citação Postado originalmente por Briza Ver Post
    Bloquear a rede atravez de 20 conecçoes simultanias que seria o serto estou fazendo por clientes na faixa final 24 e estou tendo susseço funciona bem vou tentar fazer o que o amigo postou e posto aki o resultado Valeu...
    Pode postar um exemplo ?

  10. #10

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Rssssssssssss..... Não li esta parte, mas valeu!!! Isso mesmo......
    David:

    Veja a regra abaixo:

    add chain=forward src-address=192.168.40.0/24 protocol=tcp dst-port=1024-65535 \
    tcp-flags=syn packet-mark=p2p_pack connection-mark=p2p_conn connection-limit=100,32 \
    action=drop comment="CONTROLE DE CONEX ES ACIMA DA PORTA 1024" disabled=yes

    As dúvidas são a seguintes:

    1 - Essa regra vai dar 100 conexões simultâneas para a REDE TODA no intervalo entre as portas 1024-65535 ou vai dar 100 conexões para CADA IP desta rede ?

    2 - Como vc deve ter visto eu pedi na regra para o sistema observar as conexões e os pacotes p2p marcados. Necessito indicar os dois mesmo ou apenas um deles resolve ?

    Obrigado.



  11. #11

    Padrão

    Citação Postado originalmente por macewindu Ver Post
    David:

    Veja a regra abaixo:

    add chain=forward src-address=192.168.40.0/24 protocol=tcp dst-port=1024-65535 \
    tcp-flags=syn packet-mark=p2p_pack connection-mark=p2p_conn connection-limit=100,32 \
    action=drop comment="CONTROLE DE CONEX ES ACIMA DA PORTA 1024" disabled=yes

    As dúvidas são a seguintes:

    1 - Essa regra vai dar 100 conexões simultâneas para a REDE TODA no intervalo entre as portas 1024-65535 ou vai dar 100 conexões para CADA IP desta rede ?

    2 - Como vc deve ter visto eu pedi na regra para o sistema observar as conexões e os pacotes p2p marcados. Necessito indicar os dois mesmo ou apenas um deles resolve ?

    Obrigado.
    Opa!!!

    1 - Sempre que utilizar "0" no final de um IP, significa, "para todos os IPs"..... Neste caso voc~çe dará 100 conexões para toda a rede......

    2 - Porvavelmente somente uma é necessária... Você pode acompanhar no "mangle" a regra de P2P e ter uma visão melhorada, entrando na regra e selecionando a aba "statistics",...

  12. #12
    Avatar de marcelomg
    Ingresso
    Jan 2006
    Localização
    São Lourenço do Sul, Brazil
    Posts
    1.476

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Opa!!!

    1 - Sempre que utilizar "0" no final de um IP, significa, "para todos os IPs"..... Neste caso voc~çe dará 100 conexões para toda a rede......

    2 - Porvavelmente somente uma é necessária... Você pode acompanhar no "mangle" a regra de P2P e ter uma visão melhorada, entrando na regra e selecionando a aba "statistics",...
    Amigo, me explica uma coisa, vc deve usar esse limite ai né? me diga como se comporta esse limite com o MSN? pq ele usa porta alta, quando um cliente usar o emule ele sosinho pode estar usando todo limite de conexoes simultaneas e derrubando o msn geral do restante da rede, acompanhe meu pensamento e me corrija por favor aonde estou errado.