Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Controle de Conexões Simultâneas

    Galera, quem esta usando controle de conexões simultâneas, que não tem tido grandes complicações e resultados bons com este implemento.

    Por favor postem as experiências, quem quiser postar como tem configurado também é intressante.

    Abraços.

  2. #2

    Padrão

    Olá

    Acho indispensável. Tenho este controle e tem funcionado perfeitamente. Além de limitar as conexões simultâneas por cliente, faço um bloqueio UDP liberando apenas a porta 53 para pesquisas de DNS. Segue abaixo as regras:

    ## IP >> Firewall >> Mangle

    ;;; Marcando Pacotes Sem Limite Conexao
    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes

    chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes

    ## IP >> Firewall >> Filter

    ;;; Limitando a 10 conexoes simulaneas por cliente
    chain=forward src-address=192.168.10.0/24 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=10,32 action=drop

    ;;; Dropa UDP <> 53
    chain=forward src-address=192.168.10.0/24 protocol=udp dst-port=!53 action=drop

    Att.



  3. #3

    Padrão

    Gilmar,
    Agradeço pelo tópico.

    bauer,
    Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.

    Perguntas:

    Essa regra de udp não atrapalha algum outro serviço importante?

    Que serviço usa a porta 1863 do tcp?

    Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.

  4. #4

    Padrão

    lfaria

    Radicais? talvez, mas essênciais. Na verdade são bem flexíveis modificando-as conforme necessidade do ambiente.

    Com relação a porta TCP 1863, é a porta para conexão do MSN.

    Com relação ao UDP, um dos únicos serviços essenciais é a resolução de nomes DNS. As portas UDP's são muito utilizadas por P2P e alguns jogos. Mas, como mencionei acima é simples de você liberar uma porta UDP para um determidado cliente ou como exemplo deixar alguém fora das regras. Fazem 6 meses de implantação das mesmas e até o momento está confiável e sem transtornos.

    Vale salientar que com estas regras não precisei dropar o P2P, sendo que foi respeitado o limite máximo no controle de banda, problema este grave com a família warez.

    Att.



  5. #5

    Padrão

    Citação Postado originalmente por lfaria Ver Post
    Gilmar,
    Agradeço pelo tópico.

    bauer,
    Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.

    Perguntas:

    Essa regra de udp não atrapalha algum outro serviço importante?

    Que serviço usa a porta 1863 do tcp?

    Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.
    o msn usa a porta 1863 tcp.

    Eu limito apenas no firewall filter as conexoes simultaneas (libero 30 por Ip). não tenho reclamacoes de clientes com relaçao a isso.

  6. #6

    Padrão Valeu...

    Rapaziada...

    Valeu as dicas, estou implementando em dois pontos para testes, em 48 horas posto o resultado...

    se precisarem de algo, que eu possa ser util, estou a disposição.

    Mais uma vez agradeço a colaboração.

    []'s Gilmar Balbinot