Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Limite de Conexoes - Metodo mais flexivel.

    Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

    eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

    Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

    [Mangle]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no


    Agora vamos ao controle...

    [Filter]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no

    Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

    Espero ter ajudado.
    Se estiver algo errado por favor me corrijam.

    Abracos.
    Glauber Mattar
    Última edição por AirKing; 18-08-2007 às 01:43.

  2. #2

    Smile 25,32

    Olá, boa noite!

    Sou iniciante no Mickrotik e consegui compreender perfeitamente o que você fez, deu prioridade as portas que você acha que são necessárias, só não entendi uma coisa, por favor, comente para mim o que faz essa regra (25,32) o (25) eu compreendi que são os números de conexões, e o (32) qual a função? O resto entendi ....Obrigado

  3. #3

    Padrão

    Ola amigo.

    32 é a mascara que a regra vai ser aplicada... ou seja ip por ip

    Abracos.
    Glauber Mattar

  4. #4
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    366

    Padrão

    Desculpa minha pergunta idiota. + no que essas conexões simultâneas podem prejudica a rede? E o que seria conexões simultâneas? Tipo entra em vários sites ao mesmo tempo?


    Abraço a todos e espero não ter parecido burro. Pois essa e a hora de pode tira umas duvidas.
    Última edição por angelangra; 18-08-2007 às 01:21.

  5. #5

    Padrão

    Conexoes simultaneas eh o seguinte.... quando um cliente por exemplo abre um emule... algumas vezes... somente ele abre mais de 1000 conexoes simultaneas.... isso pra uma rede wireless eh mortal.... acaba atrapalhando ateh quem nao tem nada a ver com a coisa.

    Por isso maioria dos provedores usa esse limite...
    Inclusive varios adsl usam esse limite de conexoes.\

    Abracos.
    Glauber Mattar

  6. #6
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    366

    Padrão

    Obrigado

    Um grande abraço e continue assim.

    agora essa sua regra e feita no IP> Firewall> NAT ou Filte ????
    Última edição por angelangra; 18-08-2007 às 01:27.

  7. #7

    Padrão

    A Primeira parte eh no mangle... pra vc marcar os pacotes... a ultima regra vc faz no filter.. desculpa eskeci de especificar... vou colocar la.

    Abracos.
    Glauber Mattar

  8. #8

    Padrão

    Desculpe a pergunta idiota, mas como adiciono essas regras todas de uma vez no mk?
    Sou novato ainda no mk
    Abraços...

  9. #9

    Padrão

    Citação Postado originalmente por AirKing Ver Post
    Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

    eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

    Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

    [Mangle]

    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no


    Agora vamos ao controle...

    [Filter]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no

    Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

    Espero ter ajudado.
    Se estiver algo errado por favor me corrijam.

    Abracos.
    Glauber Mattar

    Amigo,

    basta copiar as regras postadas pelo Glauber e adicionar as linhas
    /ip firewall mangle andes dos add chain do mangle
    /ip firewall filter andes dos add filter

    ou seja no seu mikrotik digite ai :
    /ip firewall mangle
    agora é só copiar e colar no MK.
    depois digita ai:
    /ip firewall filter
    agora é só copias e colar no MK.

    Entendeu?

    Ou pode ser assim? Copiar o post que montei logo abaixo.

    /ip firewall mangle
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    /ip firewall filter
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no



    PS: Nao esqueça que ele está controlando a rede 192.168.0.0/24 a sua pode ser outra ok.
    Ai terá de efetuar mudanças.
    Flw. Espero ter ajudado.

  10. #10

    Padrão

    é isso mesmo... obrigado eduprog =)

    Abracos.
    Glauber Mattar

  11. #11
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    366

    Padrão

    Você faz isso no New Terminal

  12. #12

    Padrão

    Citação Postado originalmente por AirKing Ver Post
    Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

    eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

    Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

    [Mangle]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no


    Agora vamos ao controle...

    [Filter]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no

    Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

    Espero ter ajudado.
    Se estiver algo errado por favor me corrijam.

    Abracos.
    Glauber Mattar
    E arriscado liberar a porta 80 do limite de conexões, devido a programas p2p que usam criptografia ou gerenciadores de download que fazem uso de conexões simultaneas na porta 80.

  13. #13
    Avatar de angelangra
    Ingresso
    Jul 2007
    Localização
    Angra dos Reis, Rio de Janeiro, Brazil, Brazil
    Posts
    366

    Padrão

    Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

    / ip firewall filter
    add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

  14. #14

    Smile

    Citação Postado originalmente por AirKing Ver Post
    Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

    eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

    Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

    [Mangle]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes \
    comment="Marcando Pacotes Sem Limite Conexao" disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no
    add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
    action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
    disabled=no


    Agora vamos ao controle...

    [Filter]
    add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
    packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
    numero conexoes simultaneas" disabled=no

    Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

    Espero ter ajudado.
    Se estiver algo errado por favor me corrijam.

    Abracos.
    Glauber Mattar
    Glauber,

    muito interessante essas regras, só minha única dúvida, é que na tabela filter, voce adicionando a regra pegando a rede toda (Ex 192.168.0.0/24) e no limite de conexoes selecionar /32 para pegar cada IP ele entende ?? ou será que ele ta jogando 25 conexoes apenas para toda a rede ??

    pois aqui quando rodei o controle, começou a barrar um trafego enorme... !!

    Abraços
    Everton

  15. #15

    Padrão

    Ola amigo ... a resposta pra sua pergunta é sim... ele entende que é para cada cliente... depois que criei essas regras minha rede ficou outra.

    Abracos.
    Glauber Mattar

  16. #16

    Padrão

    eu fiz duma maneira mais simples e menos radical:

    Limito em 30 o numero de conexoes das portas tcp acima da 1000. As portas baixas deixo todas liberadas.

    chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=!0-1000
    tcp-flags=syn connection-limit=30,32 action=drop

    No que estou tendo dificuldade é no controle de conexoes UDP, como nao tem como limitar por conexoes, quando aparece algum cliente abrindo muitas udp, simplesmente bloqueio todas acima da porta 1000.

  17. #17

    Padrão Limite de Conexoes - Metodo mais flexivel

    como fica minha rede onde nós clientes uso essa faixa de ips 10.56.56.xx mascara 255.255.255.252, alguém pode me ajudar

  18. #18

    Padrão

    Amigo,

    Você mesmo tem a resposta, de acordo com as regras do glauber substitua a rede dele pelo 10.56.56.0/24, entao nao importa como estao divididos seus clientes, com a regra 25,32 cada ip que encaixe nesta faixa será avalido entendeu?

    Flw.T+

  19. #19

    Padrão

    e quanto aos meus clientes que são lanhouses, isso não deixaria os usuários travados no limite de conexões?????

  20. #20

    Padrão

    Citação Postado originalmente por angelangra Ver Post
    Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

    / ip firewall filter
    add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no
    Mesmo com o Ares bloqueado ainda existe o Download Accelerator Plus eo Flashget, que utilizam todas as conexões possíveis para fazer download em cima da porta 80.