+ Responder ao Tópico



  1. #1

    Padrão Controle de Conexões Simultâneas

    Galera, quem esta usando controle de conexões simultâneas, que não tem tido grandes complicações e resultados bons com este implemento.

    Por favor postem as experiências, quem quiser postar como tem configurado também é intressante.

    Abraços.

  2. #2

    Padrão

    Olá

    Acho indispensável. Tenho este controle e tem funcionado perfeitamente. Além de limitar as conexões simultâneas por cliente, faço um bloqueio UDP liberando apenas a porta 53 para pesquisas de DNS. Segue abaixo as regras:

    ## IP >> Firewall >> Mangle

    ;;; Marcando Pacotes Sem Limite Conexao
    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes

    ## IP >> Firewall >> Filter

    ;;; Limitando a 10 conexoes simulaneas por cliente
    chain=forward src-address=192.168.10.0/24 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=10,32 action=drop

    ;;; Dropa UDP <> 53
    chain=forward src-address=192.168.10.0/24 protocol=udp dst-port=!53 action=drop

    Att.



  3. #3

    Padrão

    Gilmar,
    Agradeço pelo tópico.

    bauer,
    Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.

    Perguntas:

    Essa regra de udp não atrapalha algum outro serviço importante?

    Que serviço usa a porta 1863 do tcp?

    Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.

  4. #4

    Padrão

    lfaria

    Radicais? talvez, mas essênciais. Na verdade são bem flexíveis modificando-as conforme necessidade do ambiente.

    Com relação a porta TCP 1863, é a porta para conexão do MSN.

    Com relação ao UDP, um dos únicos serviços essenciais é a resolução de nomes DNS. As portas UDP's são muito utilizadas por P2P e alguns jogos. Mas, como mencionei acima é simples de você liberar uma porta UDP para um determidado cliente ou como exemplo deixar alguém fora das regras. Fazem 6 meses de implantação das mesmas e até o momento está confiável e sem transtornos.

    Vale salientar que com estas regras não precisei dropar o P2P, sendo que foi respeitado o limite máximo no controle de banda, problema este grave com a família warez.

    Att.



  5. #5

    Padrão

    Citação Postado originalmente por lfaria Ver Post
    Gilmar,
    Agradeço pelo tópico.

    bauer,
    Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.

    Perguntas:

    Essa regra de udp não atrapalha algum outro serviço importante?

    Que serviço usa a porta 1863 do tcp?

    Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.
    o msn usa a porta 1863 tcp.

    Eu limito apenas no firewall filter as conexoes simultaneas (libero 30 por Ip). não tenho reclamacoes de clientes com relaçao a isso.

  6. #6

    Padrão Valeu...

    Rapaziada...

    Valeu as dicas, estou implementando em dois pontos para testes, em 48 horas posto o resultado...

    se precisarem de algo, que eu possa ser util, estou a disposição.

    Mais uma vez agradeço a colaboração.

    []'s Gilmar Balbinot



  7. #7

    Padrão

    Citação Postado originalmente por bauer Ver Post
    lfaria
    Radicais? talvez, mas essênciais. Na verdade são bem flexíveis modificando-as conforme necessidade do ambiente.
    Att.
    Hehe...

    Meio que fecha quase tudo, mas de fato são importantes, mas tem outros serviços que no meu caso tenho que prever.

    Vou adaptar para meu caso e testar.

  8. #8

    Padrão

    Citação Postado originalmente por bauer Ver Post
    Olá

    Acho indispensável. Tenho este controle e tem funcionado perfeitamente. Além de limitar as conexões simultâneas por cliente, faço um bloqueio UDP liberando apenas a porta 53 para pesquisas de DNS. Segue abaixo as regras:

    ## IP >> Firewall >> Mangle

    ;;; Marcando Pacotes Sem Limite Conexao
    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes

    ## IP >> Firewall >> Filter

    ;;; Limitando a 10 conexoes simulaneas por cliente
    chain=forward src-address=192.168.10.0/24 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=10,32 action=drop

    ;;; Dropa UDP <> 53
    chain=forward src-address=192.168.10.0/24 protocol=udp dst-port=!53 action=drop

    Att.


    OLá, boa tarde!

    Ví que nessas suas regras você não inclui a porta 3128 (cache) quando coloco a regra no mangle a porta 3128 não é marcada, só quando mudo para ''input'' poderia me dar uma luz aqui? Está certo input ou teria que ser output?