+ Responder ao Tópico



  1. #1

    Padrão Limite de Conexao por grupo de porta e cliente

    Ola galera,

    Aqui, trabalho com servidor Fedora. Nao tenho nada o que reclamar, tudo que necessito, consigo fazer nele.
    Porem, semana passada o servidor de testes que fica aqui em casa deu pal (queimou a fonte). Entao, resolvi testar o lado negro da forca.

    Pois bem, um amigo me arrumou um mikrotik generico (para nao dizer crackeado).
    Inicialmente, nao encontrei muita dificuldade com o mesmo, ate pq, so configurei servicos basicos.

    Porem, referente ao controle de conexao, no servidor fedora eu usava as regras abaixo.
    Onde eu criava 2 tabelas e cada 1 seria responsavel por um grupo de portas, e logo depois, limitava essas portas para um limite de 85 conexao por cliente.
    Dessa forma, eu diferenciava portas nativas (20,21,23,25,53,80,110,443.1863,2210,3128,5600,8080,8081) das demais portas.

    iptables -t mangle -N CONNLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 -s 172.168.0.0/16 -m multiport --destination-port 20,21,23,25,53,80,110,443 -j CONNLIMIT
    iptables -t mangle -A FORWARD -p TCP -d 0/0 -s 172.168.0.0/16 -m multiport --destination-port 1863,2210,3128,5600,8080,8081 -j CONNLIMIT
    iptables -t mangle -A CONNLIMIT -p TCP -s 172.168.0.0/16 -m state ! --state RELATED -m connlimit --connlimit-above 85 --connlimit-mask 32 -j DROP
    echo " Connlimit porta nativa iniciado...............[ OK ]"

    iptables -t mangle -N CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 1:19 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 -m multiport --destination-port 22,24 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 26:52 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 54:79 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 81:109 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 111:442 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 444:1862 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 1864:2209 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 2211:3127 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 3129:5599 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 5601:8079 -j CONLIMIT
    iptables -t mangle -A FORWARD -p TCP -s 172.168.0.0/16 -d 0/0 --dport 8082:65535 -j CONLIMIT
    iptables -t mangle -A CONLIMIT -p TCP -s 172.168.0.0/16 -m state ! --state RELATED -m connlimit --connlimit-above 85 --connlimit-mask 32 -j DROP
    echo " Connlimit portas nao nativa iniciado..........[ OK ]"
    pois ate onde eu vi, teria que criar regra por regra para cada cliente... e nao somente criar uma regra que serviria para cada cliente, como eh o caso da regra acima.

    Pergunto, no MK teria como fazer algo parecido?
    Última edição por AndrioPJ; 01-11-2009 às 22:47.

  2. #2

    Padrão

    no linux... para fazer o limite de conexao por cliente
    bastava que colocar a faixa da rede interna e definir a NETMASK do limite como /32...

    ai, o limite automaticamente se aplicava a cada ip da faixa que foi setada...

    alguem ja testou assim no mk?