Limite de Conexao por grupo de porta e cliente
Ola galera,
Aqui, trabalho com servidor Fedora. Nao tenho nada o que reclamar, tudo que necessito, consigo fazer nele.
Porem, semana passada o servidor de testes que fica aqui em casa deu pal (queimou a fonte). Entao, resolvi testar o lado negro da forca.
Pois bem, um amigo me arrumou um mikrotik generico (para nao dizer crackeado).
Inicialmente, nao encontrei muita dificuldade com o mesmo, ate pq, so configurei servicos basicos.
Porem, referente ao controle de conexao, no servidor fedora eu usava as regras abaixo.
Onde eu criava 2 tabelas e cada 1 seria responsavel por um grupo de portas, e logo depois, limitava essas portas para um limite de 85 conexao por cliente.
Dessa forma, eu diferenciava portas nativas (20,21,23,25,53,80,110,443.1863,2210,3128,5600,8080,8081) das demais portas.
Citação:
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -s 172.168.0.0/16 -m multiport --destination-port 20,21,23,25,53,80,110,443 -j CONNLIMIT
iptables -t mangle -A FORWARD -p TCP -d 0/0 -s 172.168.0.0/16 -m multiport --destination-port 1863,2210,3128,5600,8080,8081 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -s 172.168.0.0/16 -m state ! --state RELATED -m connlimit --connlimit-above 85 --connlimit-mask 32 -j DROP
echo " Connlimit porta nativa iniciado...............[ OK ]"
iptables -t mangle -N CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 1:19 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 -m multiport --destination-port 22,24 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 26:52 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 54:79 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 81:109 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 111:442 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 444:1862 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 1864:2209 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 2211:3127 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 3129:5599 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 5601:8079 -j CONLIMIT
iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 8082:65535 -j CONLIMIT
iptables -t mangle -A CONLIMIT -p TCP -s 172.168.0.0/16 -m state ! --state RELATED -m connlimit --connlimit-above 85 --connlimit-mask 32 -j DROP
echo " Connlimit portas nao nativa iniciado..........[ OK ]"
pois ate onde eu vi, teria que criar regra por regra para cada cliente... e nao somente criar uma regra que serviria para cada cliente, como eh o caso da regra acima.
Pergunto, no MK teria como fazer algo parecido?
