Limite de Conexoes - Metodo mais flexivel.

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

Olá, boa noite!

Sou iniciante no Mickrotik e consegui compreender perfeitamente o que você fez, deu prioridade as portas que você acha que são necessárias, só não entendi uma coisa, por favor, comente para mim o que faz essa regra (25,32) o (25) eu compreendi que são os números de conexões, e o (32) qual a função? O resto entendi ....Obrigado

Ola amigo.

32 é a mascara que a regra vai ser aplicada... ou seja ip por ip

Abracos.
Glauber Mattar

Desculpa minha pergunta idiota. + no que essas conexões simultâneas podem prejudica a rede? E o que seria conexões simultâneas? Tipo entra em vários sites ao mesmo tempo?


Abraço a todos e espero não ter parecido burro. Pois essa e a hora de pode tira umas duvidas.

Conexoes simultaneas eh o seguinte.... quando um cliente por exemplo abre um emule... algumas vezes... somente ele abre mais de 1000 conexoes simultaneas.... isso pra uma rede wireless eh mortal.... acaba atrapalhando ateh quem nao tem nada a ver com a coisa.

Por isso maioria dos provedores usa esse limite...
Inclusive varios adsl usam esse limite de conexoes.\

Abracos.
Glauber Mattar

Obrigado

Um grande abraço e continue assim.

agora essa sua regra e feita no IP> Firewall> NAT ou Filte ????

A Primeira parte eh no mangle... pra vc marcar os pacotes... a ultima regra vc faz no filter.. desculpa eskeci de especificar... vou colocar la.

Abracos.
Glauber Mattar

Desculpe a pergunta idiota, mas como adiciono essas regras todas de uma vez no mk?
Sou novato ainda no mk :o
Abraços...

Citação:

---

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]

add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

---

Amigo,

basta copiar as regras postadas pelo Glauber e adicionar as linhas
/ip firewall mangle andes dos add chain do mangle
/ip firewall filter andes dos add filter

ou seja no seu mikrotik digite ai :
/ip firewall mangle
agora é só copiar e colar no MK.
depois digita ai:
/ip firewall filter
agora é só copias e colar no MK.

Entendeu?

Ou pode ser assim? Copiar o post que montei logo abaixo.

/ip firewall mangle
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
/ip firewall filter
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no



PS: Nao esqueça que ele está controlando a rede 192.168.0.0/24 a sua pode ser outra ok.
Ai terá de efetuar mudanças.
Flw. Espero ter ajudado.

é isso mesmo... obrigado eduprog =)

Abracos.
Glauber Mattar

Você faz isso no New Terminal

Citação:

---

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

---

E arriscado liberar a porta 80 do limite de conexões, devido a programas p2p que usam criptografia ou gerenciadores de download que fazem uso de conexões simultaneas na porta 80.

Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

/ ip firewall filter
add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

Citação:

---

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

---

Glauber,

muito interessante essas regras, só minha única dúvida, é que na tabela filter, voce adicionando a regra pegando a rede toda (Ex 192.168.0.0/24) e no limite de conexoes selecionar /32 para pegar cada IP ele entende ?? ou será que ele ta jogando 25 conexoes apenas para toda a rede ??

pois aqui quando rodei o controle, começou a barrar um trafego enorme... !!

Abraços
Everton

Ola amigo ... a resposta pra sua pergunta é sim... ele entende que é para cada cliente... depois que criei essas regras minha rede ficou outra.

Abracos.
Glauber Mattar

eu fiz duma maneira mais simples e menos radical:

Limito em 30 o numero de conexoes das portas tcp acima da 1000. As portas baixas deixo todas liberadas.

chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=!0-1000
tcp-flags=syn connection-limit=30,32 action=drop

No que estou tendo dificuldade é no controle de conexoes UDP, como nao tem como limitar por conexoes, quando aparece algum cliente abrindo muitas udp, simplesmente bloqueio todas acima da porta 1000.

como fica minha rede onde nós clientes uso essa faixa de ips 10.56.56.xx mascara 255.255.255.252, alguém pode me ajudar

Amigo,

Você mesmo tem a resposta, de acordo com as regras do glauber substitua a rede dele pelo 10.56.56.0/24, entao nao importa como estao divididos seus clientes, com a regra 25,32 cada ip que encaixe nesta faixa será avalido entendeu?

Flw.T+

e quanto aos meus clientes que são lanhouses, isso não deixaria os usuários travados no limite de conexões?????

Citação:

---

Postado originalmente por angelangra

Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

/ ip firewall filter
add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

---

Mesmo com o Ares bloqueado ainda existe o Download Accelerator Plus eo Flashget, que utilizam todas as conexões possíveis para fazer download em cima da porta 80.

Muito boa solução Airking. Ficou elegante e funcional. Minhas congratulações!

Espero ver mais scripts seus por ai...


Eu mesmo estava pensando hoje em fazer isso, e procurando no forum encontrei uma resposta bacana e simples. Realmente Parabéns!

Citação:

---

Postado originalmente por jairlima

e quanto aos meus clientes que são lanhouses, isso não deixaria os usuários travados no limite de conexões?????

---

Voce pode criar uma regra de accept para cada ip que voce quer deixar sem limite. Ela deve ficar antes da regra de limite.

Esta questao de bloquear os clientes é complicado, pois precisamos atender eles da melhor forma possivel. Ninguem quer pagar por um serviço que funcione cheio de limitaçoes.

Olá pessoal!


Apliquei as regras do colega e tenho uma dúvida... No mangle ele marca as conexões, mas no meu mk ele não está marcado as conexões da porta 80 e nem da 25, então supostamente se ele não está marcando essas portas, essas portas não estão no controle correto? Uso proxy transparente na porta 3128, inclui essa porta na conexão ''sem limite'', e o mangle só começou a marcar quando mudei para '''chain'' INPUT.


Aguém poderia me dar uma mão e explicar porque não marca a conexão da porta 80 e da 25, o resto como ftp,msn,pop3,etc ele marca.



Abração.

Amigo..

veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....

Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.

Abracos.

Citação:

---

Postado originalmente por AirKing

Amigo..

veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....

Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.

Abracos.

---

Obrigado por sua resposta, mas se eu voltar para foward ele não marcará a conexão da porta 3128, e também não marcará a da porta 80, vamos raciocinar que se não marcar é por que não está funcionando a regra, mas, era para marcar uma das duas correto? Ou a 3128 ou a 80.

Você aplicou essa regra no seu mk? Se sim, ele marcou no mangle os paquetes da 80 ou 3128 em forward?

Abração e obrigado por sua resposta

exato... era pra marcar sim... nao entendo pq nao esta marcando.

Citação:

---

Postado originalmente por AirKing

exato... era pra marcar sim... nao entendo pq nao esta marcando.

---

Camarada, já que vc está on-line fiz uma pergunta no forum e ninguém respondeu ainda, é o seguinte... Qual a finalidade do mangle/ Só marcar, por que se eu usar o jump no firewall filter e mandar que a conexão forward seja avaliada por uma chain que eu criar ( como por exemplo Virus) se eu aplicar o jump e mandar passar toda conexão forward pelo vírus então de que me servirá o mangle?

Compreendeu a pergunta?


Abração.

Olá amigos! Desculpem retornar a este assunto, mas resolvi limitar em 25 conexoes tcp por cliente assim como foi explanado aqui.

O interessante é que fui na aba connections em IP -> Firewall do winbox e lá mostra-me um total de 1600 conexões, sendo que a maioria é de pacotes udp.

Como foi dito por um colega, normalmente o serviço ADSL tem um limite de conexões. Fico na dúvida de como limitar também conexões UDP, pois não parece ser da mesma forma que TCP, pois não tenho a opção limit habilitada para o protocolo UDP.

Aliás! Alguém saberia dizer qual o número de conexões simultâneas permitidas por um serviço ADSL?

Obrigado

Seguinte pessoal, vai uma sugesta!


Fiz aqui assim, marquei todas as conexões simultâneas que passem de 25, submeti essas conexões a identificação de que sejam ou não do tipo p2p, se forem, eu dropo!

Voltando ao assunto, acredito que esta minha regra de limitação de conexões não funcione no meu mikrotip em modo bridge. Explicando, meu mikrotip com tres placas pci athereos em modo ap bridge, estão configuradas em bridge1 e o link é enviado do meu escritório pelo meu servidor, onde daí tenho controle de banda e squid. Reitero, a limitação de conexões funcionaria lá no meu mikrotip em bridge? Porque não parece estar funcionando, pois listo as conexões e tem clientes com muito mais que 25 ou 30 conexões simultâneas de tcp.

Fui tentar fazer o limite de conexões também no meu servidor debian gnu/linux com kernel 2.6.18, mas pelo que li, depois de muito tentar, é que esta versão do kernel não tem suporte a connlimit do iptables.

Grato por enquanto, qualquer coisa atualizo o meu kernel.

Abraços

Citação:

---

Postado originalmente por Roberto21

Obrigado por sua resposta, mas se eu voltar para foward ele não marcará a conexão da porta 3128, e também não marcará a da porta 80, vamos raciocinar que se não marcar é por que não está funcionando a regra, mas, era para marcar uma das duas correto? Ou a 3128 ou a 80.

Você aplicou essa regra no seu mk? Se sim, ele marcou no mangle os paquetes da 80 ou 3128 em forward?

Abração e obrigado por sua resposta

---

É, tô passando pelo mesmo problema tb... Todas as portas são marcadas(até a 443 que é do https), porem a porta 3128 nem a 80 não estão sendo marcadas pelo mangle... =(

Alguma luz no fim desse túnel?!

Abs.

Estas regras
Funcionaria com o miktoik ap brigte.

Grato

Ola,

Amigo, o seu script realmente está muito bom...

Mas agora estou com problema para fazer uma "Sintonia Fina", por exemplo, estou com clientes que provavelmente estão com virus que enviam email spam, mas o mangle está liberando tudo na porta 25, se eu criar um filtro com o IP do cliente cliente para porta 25 só poder criar digamos 3 conexões simultaneas, não vai ter efeito pq o mangle está liberando antes de ser analizado pelo filtro correto?

Como eu resolvo este problema?

Obrigado.

Bom mano, creio que seja so remover a regra que limite a porta 25, ae ele vai entrar para a regra de limite.

Abraços.

So uma duvida, para liberar 1 ip do limite eu crio um accept com esse ip, mas como faria isso ao certo? Não entendi bem.
É que na empresa sao 4 torres, uma interligada na outra, queria liberar so os ips dos mks para evitar merda.

Citação:

---

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

---

amigo AirKing, sou iniciante ainda no MK, então espero que não se incomode com perguntas tão básica como as minhas: no casso dessas suas regras o "src-address=192.168.0.0/24" se refere ao endereço da rede do seu link ? no meu caso devo adaptar para os endereços da minha rede externa e interna? ( que aki renomeei para WAN e LAN ).

Citação:

---

Postado originalmente por angelangra

Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

/ ip firewall filter
add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

---

OI AMIGO
NESTA REGRA NAO PRECISA COLOCAR O IP
GRATO SANDRO SA

Citação:

---

Postado originalmente por flaviomreis

Olá amigos! Desculpem retornar a este assunto, mas resolvi limitar em 25 conexoes tcp por cliente assim como foi explanado aqui.

O interessante é que fui na aba connections em IP -> Firewall do winbox e lá mostra-me um total de 1600 conexões, sendo que a maioria é de pacotes udp.

Como foi dito por um colega, normalmente o serviço ADSL tem um limite de conexões. Fico na dúvida de como limitar também conexões UDP, pois não parece ser da mesma forma que TCP, pois não tenho a opção limit habilitada para o protocolo UDP.

Aliás! Alguém saberia dizer qual o número de conexões simultâneas permitidas por um serviço ADSL?

Obrigado

---

AMIGO DEPENDE DO PLANO, SE FOR EMPRESARIAL NAO TEM LIMITE, MAS SE RESIDENCIAL NO MAXIMO 30

gostaria de saber se essas regras de bloqueio de conexoes eu coloco direto no ap que utilizo um mk, pois o meu servidor nao é mk se funciona no ap

Citação:

---

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

---

Bom dia,
Como uso varios Gateways eu poderia trocar a mascara dessa regra, de 192.168.0.0/24, por 192.168.0.0/16?????
Meus Gateways são, 20.20.0.1, 20.20.1.1, 20.20.2.1 etc......

estas regras funcionam em modo ap bridge????

Pessoal ai está a regra para solucionar o problema de Spam após e antes da regra de nosso amigo.
Está regra não é de minha autoria apenas foi modificada por mim para uso em minha rede.


;;; Bloqueia Spammers e Usuarios Infectados
chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=accept

;;; Detecta and Add-List SMTP Virus e Spammers
chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d

Ola amigo por um acaso na sua primeira regra nao seria DROP?

Abraco.
AirKing

Citação:

---

Postado originalmente por minelli

Pessoal ai está a regra para solucionar o problema de Spam após e antes da regra de nosso amigo.
Está regra não é de minha autoria apenas foi modificada por mim para uso em minha rede.


;;; Bloqueia Spammers e Usuarios Infectados
chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=accept

;;; Detecta and Add-List SMTP Virus e Spammers
chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d

---

Se vc por drop ela vai bloquer td porta 25, e ñ é isso é pra liberar e adicionar o endereço numa lista depois fazer o drop.

• Citação:

  ---

  Postado originalmente por minelli

  Pessoal ai está a regra para solucionar o problema de Spam após e antes da regra de nosso amigo.

  ---

Citação:

---

Postado originalmente por minelli

Está regra não é de minha autoria apenas foi modificada por mim para uso em minha rede.


;;; Bloqueia Spammers e Usuarios Infectados
chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=accept

;;; Detecta and Add-List SMTP Virus e Spammers
chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d

---

queria saber nesta regra 32 depois da virgula e mascara certo pq a minha mascara e 24

tenho aqui 5 ranges de ip /24 em um MK
criei um adress-list com nome de 'rede' e fiz assim nas regras do mangle:

add chain=forward protocol=tcp dst-port=80 src-address-list=rede \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no


ta certo? assim ele marca realmente as conexões soh dos ranges que tiverem nessa address-list??


e outra pergunta... como que eu vejo que o controle esta realmente funcionando, sem ser apenas nas regras que estão com movimentos de pacotes e bytes?
pois dando torch no range do ip, vejo a mesma quantidade de conexões abertas em tcp quando ativado e desativado o controle...mesmo jogando o controle para 1 conexão!


obrigado desde ja!

OI, me desculpe pois sou novo no Mikrotik, eu enendi o que vc fez, só não entendi uma coisa o ip que vc usa é o ip de entrada do link (ether1) ou é o ip e saída de internet onde os clientes logam o (ether2), peço mais uma vez que me desculpem pois sou novo aqui no forum.