Re: Limitar Conexões Simultâneas
Não costumo responder a posts pq normalmente alguém mais capacitado que eu acaba respondendo antes de mim, e para não ficar chovendo no molhado prefiro abster-me, mas como não se chegou a uma definição sobre as questões levantadas lá vai.
Para resolver o problema de conexões simultâneas e P2P definitivamente:
/ip firewall filter
add action=accept chain=forward comment="Porta do DNS fora do bloqueio de UDP" disabled=no dst-port=53 protocol=udp
add action=accept chain=forward comment="Porta do NTP fora do bloqueio de UDP" disabled=no dst-port=123 protocol=udp
add action=accept chain=forward comment="Porta do TEAMSPEAK1-2 fora do bloqueio de UDP" disabled=no dst-port=8767 protocol=udp
add action=accept chain=forward comment="Porta do TEAMSPEAK3 fora do bloqueio de UDP" disabled=no dst-port=7969 protocol=udp
add action=drop chain=forward comment="Bloqueio de UDP" disabled=no out-interface="mudar para o nome da sua interface externa" protocol=udp src-address-list="!IPs com UDP liberado"
add action=accept chain=forward comment="Porta do HTTP fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=80 protocol=tcp
add action=accept chain=forward comment="Porta do HTTPS fora do limite de conexoes simultaneas de TCP" disabled=no dst-port=443 protocol=tcp
add action=add-src-to-address-list address-list="50 Conexoes simultaneas" \ address-list-timeout=1m chain=forward comment=\ "50 Conexoes simultaneas de TCP" connection-limit=50,32 disabled=no \ protocol=tcp src-address-list="!Fora das 50 conexoes simultaneas" \ tcp-flags=syn
add action=drop chain=forward connection-limit=50,32 disabled=no protocol=tcp src-address-list="50 Conexoes simultaneas" tcp-flags=syn
Percebam que bloqueei o UDP e fui abrindo as portas necessárias, o P2P normalmente utiliza o UDP pq através desse protocolo ele fica mais solto, com menos controles, mas ao perceber que não tem saída UDP ele utiliza o TCP e ai vc consegue controla-lo, que é exatamente minha intenção, aqui não bloqueio o P2P, mas mantenho ele sobre controle.
Caso queira liberar totalmente o UDP para algum IP é só adiciona-lo na lista "IPs com UDP liberado".
As regras de controle de conexões simultâneas são duas, a primeira analisa se existe algum IP com mais que 50 conexões e inclui ele em uma lista, a segunda regra controla as conexões desses ips que foram postos nessa lista, a cada 1 minuto a lista é verificada e se esses ips não voltarem a exceder o limite de conexões são retirados da lista.
Dessa forma evita-se fazer uma regra para cada ip da rede pq isso eleva muito o processamento do MK, caso queira liberar algum IP das conexões simultâneas é só adiciona-lo na lista "Fora das 50 conexoes simultaneas".
As portas de HTTP e HTTPS estão fora desse limite de conexões pq se deixa-las sendo controladas tb, a navegação tende a ficar lenta ou até mesmo parar quando a regra entrar em ação.
Tá ai minha contribuição, espero ter ajudado.
Re: Limitar Conexões Simultâneas
Alguém que entende do assunto, pode me auxiliar...
estou implantando uma forma que seja capturado com o filter o ip do usuario que exceder por exemplo 100 conexoes e mandando criar uma address-list, ate ai tranquilo, ta listando certo e tudo mais.
porem quando eu adiciono a regra de drop para dropar os ips que estao na address list, ele nao está fazendo isto de forma individual e sim deixando todos os ips com o numero de conexao setado no nat.
aqui esta o export:
----------------------------------------------------------------------------------------------------------------------------
/ip firewall filter
add action=add-src-to-address-list address-list=excedeu_conexoes_simultaneas address-list-timeout=0s chain=forward comment=\
"======== adiciona no address_list ips que excederem o numero de 100 conexoes simultaneas ========" connection-limit=100,32 \
disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=forward comment="======== limita os ips da address_list a 100 coonexoes simultaneas ========" connection-limit=\
100,32 disabled=no protocol=tcp src-address-list=excedeu_conexoes_simultaneas tcp-flags=syn
----------------------------------------------------------------------------------------------------------------------------
Re: Limitar Conexões Simultâneas
Citação:
Postado originalmente por
raumaster
Pessoal, fiz aquela regra de firewall que consta aqui:
Mikrotik - Under-Linux.Org Wiki
mas to tendo um problema. Limito em 30 conexões simultaneas por IP de cada cliente, wireless e cabo, um total de 18 clientes ou seja 18 IPs... mas alguns clientes começam a ficar muito lento ao ponto de não abrir página nenhuma! Eu penei pra descobrir o que era, só foi eliminar todas as regras de 30 conexões por IP que passou a ficar tudo normal, as paginas abrindo normalmente. Alguém sabe dizer o porque?
Uso uma RB-750G com RouterOS 5.11
EDITADO:
Aproveitando, to usando a regra de limitar P2P do mesmo link acima, aquela q vc limita a velocidade, faz um shape, pra todos P2P, mas não ta funcionando, pelo menos não pro bittorrent. Fiz um teste aqui, limite pra 600Kbit mas faço downloas topando a conexão normalmente. E entao, como limitar a banda pra P2P pra down e pra up?
Se vc limitar a 30 conexões, só de abrir a página do orkut, já vai estar quase que com as 30 conexões. Aumenta para pelo menos 120 com máscara 32 e veja a diferença.
Re: Limitar Conexões Simultâneas
amigo a regra é esta abaixo, manda somente o ip que eceder para a address list por 1 minuto.
/ip firewall filter
add action=add-src-to-address-list address-list="70 Conexoes simultaneas" \
address-list-timeout=1m chain=forward comment=\
"70 Conexoes simultaneas de TCP" connection-limit=70,32 disabled=no \
protocol=tcp src-address-list="!Fora das 70 conexoes simultaneas" \
tcp-flags=syn
add action=drop chain=forward connection-limit=70,32 disabled=no protocol=tcp \
src-address-list="70 Conexoes simultaneas" tcp-flags=syn
Re: Limitar Conexões Simultâneas
beleza, Carlos...
01 duvida: o que me ocorre é se for listado varios ips para a address list, cada ip listado la terá 70 conexoes individual ou ira partilhar estas 70 conexoes para todos os ips que listarem?
02 duvida: a regra de DROP, ela ira avaliar os ips que tao tachados na address list e ira descartar apenas o que exceder o numero de 70 conexoes do usuario, porem ele nao ficara sem navegar, apenas ira dar uma segurada.... isso?
03: duvida: o que é considerado anormal em numero de conexoes, por exemplo, usuario com um unico pc consome geralmente quanto? quero deixar uma boa sobra, porem tambem se o cara for sorterado com um virus, que nao fique sujando a rede minha.