Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. #21

    Padrão

    Citação Postado originalmente por doidopombal Ver Post
    Se liga meu véio... de repente podes me tirar uma dúvida... tenho um zinwell com aprouter 6.1 que permite enviar comandos iptables para o radio...

    Será que esse firmware aceita o pacote CONLIMIT no comando... pois assim poderei limitar o numero de pacotes diretamente no radio do cliente para que não saia o sinal com fluxo grande de pacotes

    EX...

    ANTENA OMNI -- radio server -->>>> <<<<-- radio cliente (que quero bloquear os pacotes -- ANTENA DIRECIONAL

    ABRAÇOS

    A regra é essa:

    iptables -t nat -I PREROUTING -p tcp -s 192.168.2.8 -m iplimit --iplimit-above 30 -j DROP

    Tem que criar uma regra para cada IP que vc quer controlar. Esta regra permite 30 conexoes para o IP 192.168.2.8.

  2. #22

    Padrão

    A regra acima, vale para a versao 6.1 (nao testado em outras versoes). Tem que acrescentar a regra no script pessoal ou por ssh, criar um script, torná-lo executável e incluir no init.sh para executar automaticamente ao ligar o AP.



  3. #23

    Padrão

    Citação Postado originalmente por antoni Ver Post
    A regra acima, vale para a versao 6.1 (nao testado em outras versoes). Tem que acrescentar a regra no script pessoal ou por ssh, criar um script, torná-lo executável e incluir no init.sh para executar automaticamente ao ligar o AP.
    Entao nesse comando abaixo é só trocar o conlimit por iplimit né?!?!?


    # limite de conexões

    iptables -t mangle -F CONNLIMIT

    iptables -t mangle -N CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT

    iptables -t mangle -A FORWARD -p TCP

  4. #24

    Padrão

    Citação Postado originalmente por doidopombal Ver Post
    Entao nesse comando abaixo é só trocar o conlimit por iplimit né?!?!?


    # limite de conexões

    iptables -t mangle -F CONNLIMIT

    iptables -t mangle -N CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT

    iptables -t mangle -D FORWARD -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT

    iptables -t mangle -A FORWARD -p TCP

    estas regras ai .. nao fazem NADA !!



  5. #25

    Padrão

    perae meu veio... nao fale besteira, em qualquer unix faz e muito... segue descricao abaixo:

    1) Crio uma cadeia chamada CONNLIMIT:

    iptables -N CONNLIMIT

    2) Redireciono todos os acessos (portas) que gostaria de limitar para a cadeia CONNLIMIT (no caso, as portas acima de 1024, basicamente, visto que esses softwares tarado usam portas altas, porém, tomando cuidado de deixar fora do controle as portas de serviços conhecidos, como MSN e afins, jogos on-line, vnc, proxy, etc...vou dar alguns exemplos):

    iptables -A FORWARD -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT (excluindo o MSN = 1863)

    iptables -A FORWARD -p TCP -d 0/0 --dport 1864:3127 -j CONNLIMIT (excluindo a porta do proxy = 3128)

    iptables -A FORWARD -p TCP -d 0/0 --dport 3129:5599 -j CONNLIMIT (excluindo a porta do VNC = 5600)

    iptables -A FORWARD -p TCP -d 0/0 --dport 5601:5899 -j CONNLIMIT (excluindo outra porta do VNC = 5900)

    iptables -A FORWARD -p TCP -d 0/0 --dport 5901:7776 -j CONNLIMIT (excluindo o jogo on-line Lineage = 7777)

    e assim por diante, eu faço "ranges" de IP que excluam as portas de serviços "saudáveis". Ah, e eu também uso o "-p TCP" ou seja, trabalhando apenas com o protocolo TCP, pois o CONNLIMIT só funciona com TCP. Existia um tempo atrás um módulo UDPLIMIT, mas ele é antigo, não sei se dá pra aplicar ele no kernel e no iptables mais recentes...

    3) Agora como todo esse acesso tá passando pela cadeia CONNLIMIT, eu aplico nela a limitação:

    iptables -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

    Aqui é que tá o segredo do negócio...hehehe...seguinte:

    obs1: "-m state ! --state RELATED" = usando isso, eu não incluo no DROP os pacotes que forem de retorno, ou seja, se você acessa um site (na porta 80), quando ele mandar uma resposta pra você, ele vai responder nas portas altas (acima de 1024), então, como essa conexão é uma conexão de retorno, excluindo o RELATED não aplica o connlimit, evitando problemas na navegação (principalmente de clientes com rede cheia de computador e com muita requisição - frisando que pra mim, esse cliente é um único IP, porém seus computadores estão todos por trás de NAT.

    obs2: "--connlimit-above 12" = diz que o máximo é 12 conexões simultâneas.

    obs3: "--connlimit-mask 32" = diz que ele vai tratar todos os IPs que passarem pela regra serão tratados isoladamente (ou seja, com a máscara /32, ou, 255.255.255.255), o que significa que serão 12 conexões simultâneas por IP -> 12 por cliente.

    Bom é isso. Agora rola p2p na rede, sem prejudicar a qualidade, sem derrubar repetidora, etc, etc...Mesmo quem insista que os software p2p usem portas UDP, e o connlimit não limita UDP, o tráfego UDP é sempre muito menor que o tráfego TCP, da ordem de 1/4 + ou - , ou seja, limitando o número de conexões simultâneas TCP.


    Agora que sabes que faz TUDO... quero saber se o pacote IPLIMIT funciona similar

    Obrigado

  6. #26

    Padrão

    nai falei besteira...

    se voce voltar na sua resposta anterior.. veja que o comando esta imcompleto...



  7. #27

    Padrão

    Correto amigo... perdão... a ultima linha deveria ter saido assim:

    iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 30 -j DROP

  8. #28

    Padrão

    Mas e então... é possivel criar essa cadeia separando os serviços que terão limitação no iplimit assim como no meu exemplo com o pacote conlimit???



  9. #29

    Padrão

    No AProuter eu acho que nao dá, mas vale a pena testar.

  10. #30

    Padrão

    E existe algum outro firmware que esse comando funcione 100%???? Estou interessado nele pois como voces podem ler na dica que passei ele não limita todos os serviços... liberando aqueles "saudaveis"



  11. #31

    Padrão

    Na verdade ele limita por porta, só que os softwares de p2p estão cada dia mais avançados, usando até mesmo a porta 80 em alguns casos.
    Acho difícil você conseguir um firmware com todos esses recursos, pois eles normalmente tem apenas 2mb de flash, impossibilitando que muitos recursos sejam implementados.
    Sem falar no poder de processamento dos AP, que é muito pequeno...

  12. #32

    Padrão

    Certo... mas já ajuda pra caramba pow... imagina só!!!