Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #7

    Padrão

    Citação Postado originalmente por Briza Ver Post
    Bloquear a rede atravez de 20 conecçoes simultanias que seria o serto estou fazendo por clientes na faixa final 24 e estou tendo susseço funciona bem vou tentar fazer o que o amigo postou e posto aki o resultado Valeu...
    No meu ver acho que 20 ainda serria muito... Como nosso amigo marcelomg acima sitou em outro tópico (e por falta de atenção minha, passou despercebido), esta regra limitaria sim, em cada conexão, outras que supostamente fossem abertas (pela primeira)... Acho que 10 ou 5 seria legal, pois devido utilizarmos o comando "syn" em TCP Flags, a regra só funciona mesmo quando abre-se uma conexão....


    ''Flags do TCP/IP''
    Flags para o potuguês, seria bandeiras, vamos estudar os flags do TCP/IP.
    Bem, o pacote TCP tem vários campos, nele a um reservado para os flags. Os flags servem para começar, resetar conexões entre outros. Cada flag funçiona como um semáforo, e são eles:
    Um flag pode conter: SYN, ACK, RST, FIN.
    SYN: Serve para iniciar uma conexão.
    ACK: Da continuidade a uma conexão.
    RST: Reseta a conexão caso haja algum problema.
    FIN: O FIN só termina.
    Uma conexão simples com um servidor da WEB seria mais ou menos assim:
    Você envia um SYN para o servidor, o servidor manda um ACK e um SYN para você, então, se continua enviando um ACK. Pronto, vocês estão conectados. Mas se houver algum problema, alguem vai mandar um RST para o outro. Ou então, vocês trocaram toda as informações e queiram terminar a conexão é só mandar um FIN.
    Última edição por catvbrasil; 26-02-2007 às 08:46.

  2. #8

    Padrão

    Citação Postado originalmente por Josevaldo Ver Post
    Amigo, tem muita discussão sobre isso, tenta o seguinte:
    adiciona essa regra na tua rede, em ip > firewall > filter
    chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn
    connection-limit=20,32 action=drop
    Dessa forma vocÊ limita todas as maquinas da rede a 20 requisições simultâneas, serve para todas as portas, se você querer somente as referentes aos p2p lista em dst-port de 1024-65535, pois os p2p usam em sua maioria somente as portas altas.
    Desculpe, mas ficou meio confuso. Nessa regra vc atribuiu 20 conexões simultâneas entre as portas 1024-65535 para CADA máquina da rede ou 20 conexões siumultâneas para TODAS ?



  3. #9

    Padrão

    Citação Postado originalmente por Briza Ver Post
    Bloquear a rede atravez de 20 conecçoes simultanias que seria o serto estou fazendo por clientes na faixa final 24 e estou tendo susseço funciona bem vou tentar fazer o que o amigo postou e posto aki o resultado Valeu...
    Pode postar um exemplo ?

  4. #10

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Rssssssssssss..... Não li esta parte, mas valeu!!! Isso mesmo......
    David:

    Veja a regra abaixo:

    add chain=forward src-address=192.168.40.0/24 protocol=tcp dst-port=1024-65535 \
    tcp-flags=syn packet-mark=p2p_pack connection-mark=p2p_conn connection-limit=100,32 \
    action=drop comment="CONTROLE DE CONEX ES ACIMA DA PORTA 1024" disabled=yes

    As dúvidas são a seguintes:

    1 - Essa regra vai dar 100 conexões simultâneas para a REDE TODA no intervalo entre as portas 1024-65535 ou vai dar 100 conexões para CADA IP desta rede ?

    2 - Como vc deve ter visto eu pedi na regra para o sistema observar as conexões e os pacotes p2p marcados. Necessito indicar os dois mesmo ou apenas um deles resolve ?

    Obrigado.



  5. #11

    Padrão

    Citação Postado originalmente por macewindu Ver Post
    David:

    Veja a regra abaixo:

    add chain=forward src-address=192.168.40.0/24 protocol=tcp dst-port=1024-65535 \
    tcp-flags=syn packet-mark=p2p_pack connection-mark=p2p_conn connection-limit=100,32 \
    action=drop comment="CONTROLE DE CONEX ES ACIMA DA PORTA 1024" disabled=yes

    As dúvidas são a seguintes:

    1 - Essa regra vai dar 100 conexões simultâneas para a REDE TODA no intervalo entre as portas 1024-65535 ou vai dar 100 conexões para CADA IP desta rede ?

    2 - Como vc deve ter visto eu pedi na regra para o sistema observar as conexões e os pacotes p2p marcados. Necessito indicar os dois mesmo ou apenas um deles resolve ?

    Obrigado.
    Opa!!!

    1 - Sempre que utilizar "0" no final de um IP, significa, "para todos os IPs"..... Neste caso voc~çe dará 100 conexões para toda a rede......

    2 - Porvavelmente somente uma é necessária... Você pode acompanhar no "mangle" a regra de P2P e ter uma visão melhorada, entrando na regra e selecionando a aba "statistics",...

  6. #12
    Avatar de marcelomg
    Ingresso
    Jan 2006
    Localização
    São Lourenço do Sul, Brazil
    Posts
    1.476

    Padrão

    Citação Postado originalmente por catvbrasil Ver Post
    Opa!!!

    1 - Sempre que utilizar "0" no final de um IP, significa, "para todos os IPs"..... Neste caso voc~çe dará 100 conexões para toda a rede......

    2 - Porvavelmente somente uma é necessária... Você pode acompanhar no "mangle" a regra de P2P e ter uma visão melhorada, entrando na regra e selecionando a aba "statistics",...
    Amigo, me explica uma coisa, vc deve usar esse limite ai né? me diga como se comporta esse limite com o MSN? pq ele usa porta alta, quando um cliente usar o emule ele sosinho pode estar usando todo limite de conexoes simultaneas e derrubando o msn geral do restante da rede, acompanhe meu pensamento e me corrija por favor aonde estou errado.