Página 3 de 8 PrimeiroPrimeiro 1234567 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #13
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    366

    Padrão

    Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

    / ip firewall filter
    add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

  2. #14

    Smile

    Citação Postado originalmente por AirKing Ver Post
    Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

    eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

    Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

    [Mangle]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no


    Agora vamos ao controle...

    [Filter]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no

    Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

    Espero ter ajudado.
    Se estiver algo errado por favor me corrijam.

    Abracos.
    Glauber Mattar
    Glauber,

    muito interessante essas regras, só minha única dúvida, é que na tabela filter, voce adicionando a regra pegando a rede toda (Ex 192.168.0.0/24) e no limite de conexoes selecionar /32 para pegar cada IP ele entende ?? ou será que ele ta jogando 25 conexoes apenas para toda a rede ??

    pois aqui quando rodei o controle, começou a barrar um trafego enorme... !!

    Abraços
    Everton



  3. #15

    Padrão

    Ola amigo ... a resposta pra sua pergunta é sim... ele entende que é para cada cliente... depois que criei essas regras minha rede ficou outra.

    Abracos.
    Glauber Mattar

  4. #16

    Padrão

    eu fiz duma maneira mais simples e menos radical:

    Limito em 30 o numero de conexoes das portas tcp acima da 1000. As portas baixas deixo todas liberadas.

    chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=!0-1000
    tcp-flags=syn connection-limit=30,32 action=drop

    No que estou tendo dificuldade é no controle de conexoes UDP, como nao tem como limitar por conexoes, quando aparece algum cliente abrindo muitas udp, simplesmente bloqueio todas acima da porta 1000.



  5. #17

    Padrão Limite de Conexoes - Metodo mais flexivel

    como fica minha rede onde nós clientes uso essa faixa de ips 10.56.56.xx mascara 255.255.255.252, alguém pode me ajudar

  6. #18

    Padrão

    Amigo,

    Você mesmo tem a resposta, de acordo com as regras do glauber substitua a rede dele pelo 10.56.56.0/24, entao nao importa como estao divididos seus clientes, com a regra 25,32 cada ip que encaixe nesta faixa será avalido entendeu?

    Flw.T+