Re: Acho que todos gostariam de tirar essa duvida?
roney,
Se eu tirar o source-addres (que no meu caso é um range de ips) eu estaria limitando todas as conexões de entrada e isso é impossível já que tenho links full que não têm limite de conexões TCP... Mas vou estudar mais a fundo essa situação que tu passou.
Quanto a porta do MSN, como será que eu tiro ela e mais umas do range (pois estão acima da 1024).
Veja só como eu criei a regra:
Código :
[[email protected]] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward in-interface=local src-address=200.140.222.128/25 protocol=tcp dst-port=1024-65535 tcp-flags=syn p2p=all-p2p connection-limit=16,32
action=drop
[[email protected]] >
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
Re: Acho que todos gostariam de tirar essa duvida?
Citação:
Postado originalmente por nataniel
roney,
Mesmo assim eu queria tirar a porta 1863 e a porta 3128, mas não acheio meios de fazer isso. Talvez criando uma regra antes dessa que deixe passar tudo para essa porta?
acredito q assim funcione sim..pois tmb tenho algo aqui..mas pra proteger o router...ele libera algumas coisas pra cima e bloqueio o resto q sobra numa regra mais abaixo..pelos testes q fiz...inclusive nos queues..ele respeita a posição das regras...
abraços..até
Re: Acho que todos gostariam de tirar essa duvida?
Depois que eu coloquei as portas não passou mais nada pela regra... Eita coisa triste!
Refiz a regra assim:
Código :
[[email protected]] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward protocol=tcp dst-port=53 action=accept
1 chain=forward protocol=tcp dst-port=80 action=accept
2 chain=forward protocol=tcp dst-port=443 action=accept
3 chain=forward protocol=tcp dst-port=1863 action=accept
4 chain=forward src-address=200.140.222.128/25 protocol=tcp tcp-flags=syn connection-limit=16,32 action=drop
[[email protected]] ip firewall filter>
Agora o counter das regras 1 a 3 corre normal mas da regra 4 nada... nem mexe...
Re: Acho que todos gostariam de tirar essa duvida?
se colocar o src-address=200.140.222.128/25 nas regras 0 1 2 e 3 será q muda alguma coisa...naum tenho ctz...mas tmb pode ser devido ao fato de q naum tem ninguem nesse momento ultrapassado o limite de conexões especificados...talves seja isso...
flws...até
Re: Acho que todos gostariam de tirar essa duvida?
Nata, pode colocar sem o src-address sem medo de ser feliz, pois como eu te falei, na regra do connlimit (connlimit=16,32) o ",32" já se encarrega de colocar essa máscara (/32 = 255.255.255.255) em todos os IPs que passarem pela Interface, fazendo com que fique 16 conex. simultâneas pra cada IP.
Quanto às portas, eu bloqueio assim:
- de 2000 até 3027 (pra livrar o proxy = 3028)
- de 3029 até 65535 (depois do proxy, até a última porta TCP).
Lembrando que o connlimit só funciona para o protocolo TCP.