Controle de Conexões Simultâneas

[Gilmar]

Galera, quem esta usando controle de conexões simultâneas, que não tem tido grandes complicações e resultados bons com este implemento.

Por favor postem as experiências, quem quiser postar como tem configurado também é intressante.

Abraços.

[bauer]

Olá

Acho indispensável. Tenho este controle e tem funcionado perfeitamente. Além de limitar as conexões simultâneas por cliente, faço um bloqueio UDP liberando apenas a porta 53 para pesquisas de DNS. Segue abaixo as regras:

## IP >> Firewall >> Mangle

;;; Marcando Pacotes Sem Limite Conexao
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes

## IP >> Firewall >> Filter

;;; Limitando a 10 conexoes simulaneas por cliente
chain=forward src-address=192.168.10.0/24 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=10,32 action=drop

;;; Dropa UDP <> 53
chain=forward src-address=192.168.10.0/24 protocol=udp dst-port=!53 action=drop

Att.

[lfaria]

Gilmar,
Agradeço pelo tópico.

bauer,
Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.

Perguntas:

Essa regra de udp não atrapalha algum outro serviço importante?

Que serviço usa a porta 1863 do tcp?

Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.

[bauer]

lfaria

Radicais? talvez, mas essênciais. Na verdade são bem flexíveis modificando-as conforme necessidade do ambiente.

Com relação a porta TCP 1863, é a porta para conexão do MSN.

Com relação ao UDP, um dos únicos serviços essenciais é a resolução de nomes DNS. As portas UDP's são muito utilizadas por P2P e alguns jogos. Mas, como mencionei acima é simples de você liberar uma porta UDP para um determidado cliente ou como exemplo deixar alguém fora das regras. Fazem 6 meses de implantação das mesmas e até o momento está confiável e sem transtornos.

Vale salientar que com estas regras não precisei dropar o P2P, sendo que foi respeitado o limite máximo no controle de banda, problema este grave com a família warez.

Att.

[antoni]

Gilmar,
Agradeço pelo tópico.

bauer,
Pelo que notei essas regras são radicais. Limita os pacotes, menos de uns poucos serviços, e fecha UDP, menos o DNS.

Perguntas:

Essa regra de udp não atrapalha algum outro serviço importante?

Que serviço usa a porta 1863 do tcp?

Quero implementar algo nesse sentido, porém preciso que funcione, mesmo de forma controlada, o p2p e servidores de jogos por exemplo.

o msn usa a porta 1863 tcp.

Eu limito apenas no firewall filter as conexoes simultaneas (libero 30 por Ip). não tenho reclamacoes de clientes com relaçao a isso.

[Gilmar]

Rapaziada...

Valeu as dicas, estou implementando em dois pontos para testes, em 48 horas posto o resultado...

se precisarem de algo, que eu possa ser util, estou a disposição.

Mais uma vez agradeço a colaboração.

[]'s Gilmar Balbinot

[lfaria]

lfaria
Radicais? talvez, mas essênciais. Na verdade são bem flexíveis modificando-as conforme necessidade do ambiente.
Att.

Hehe...

Meio que fecha quase tudo, mas de fato são importantes, mas tem outros serviços que no meu caso tenho que prever.

Vou adaptar para meu caso e testar.

[Roberto21]

Olá

Acho indispensável. Tenho este controle e tem funcionado perfeitamente. Além de limitar as conexões simultâneas por cliente, faço um bloqueio UDP liberando apenas a porta 53 para pesquisas de DNS. Segue abaixo as regras:

## IP >> Firewall >> Mangle

;;; Marcando Pacotes Sem Limite Conexao
chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=21 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=25 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=110 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=443 action=mark-packet new-packet-mark=semlimite passthrough=yes

chain=forward src-address=192.168.10.0/24 protocol=tcp dst-port=1863 action=mark-packet new-packet-mark=semlimite passthrough=yes

## IP >> Firewall >> Filter

;;; Limitando a 10 conexoes simulaneas por cliente
chain=forward src-address=192.168.10.0/24 protocol=tcp tcp-flags=syn packet-mark=!semlimite connection-limit=10,32 action=drop

;;; Dropa UDP <> 53
chain=forward src-address=192.168.10.0/24 protocol=udp dst-port=!53 action=drop

Att.

OLá, boa tarde!

Ví que nessas suas regras você não inclui a porta 3128 (cache) quando coloco a regra no mangle a porta 3128 não é marcada, só quando mudo para ''input'' poderia me dar uma luz aqui? Está certo input ou teria que ser output?