Limite de Conexoes - Metodo mais flexivel.

**lucianosds** · 24-08-2007, 09:25

Muito boa solução Airking. Ficou elegante e funcional. Minhas congratulações!

Espero ver mais scripts seus por ai...

Eu mesmo estava pensando hoje em fazer isso, e procurando no forum encontrei uma resposta bacana e simples. Realmente Parabéns!

**valmirzuge** · 24-08-2007, 10:18

Postado originalmente por jairlima

e quanto aos meus clientes que são lanhouses, isso não deixaria os usuários travados no limite de conexões?????

Voce pode criar uma regra de accept para cada ip que voce quer deixar sem limite. Ela deve ficar antes da regra de limite.

Esta questao de bloquear os clientes é complicado, pois precisamos atender eles da melhor forma possivel. Ninguem quer pagar por um serviço que funcione cheio de limitaçoes.

**Roberto21** · 09-09-2007, 19:45

Olá pessoal!

Apliquei as regras do colega e tenho uma dúvida... No mangle ele marca as conexões, mas no meu mk ele não está marcado as conexões da porta 80 e nem da 25, então supostamente se ele não está marcando essas portas, essas portas não estão no controle correto? Uso proxy transparente na porta 3128, inclui essa porta na conexão ''sem limite'', e o mangle só começou a marcar quando mudei para '''chain'' INPUT.

Aguém poderia me dar uma mão e explicar porque não marca a conexão da porta 80 e da 25, o resto como ftp,msn,pop3,etc ele marca.

Abração.

**AirKing** · 09-09-2007, 23:30

Amigo..

veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....

Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.

Abracos.

**Roberto21** · 09-09-2007, 23:47

Postado originalmente por AirKing

Amigo..

veja bem... a lista criada no mangle marca os pacotes das portas que NAO vao ser limitadas....

Quanto ao fato de nao pegar trafego da 80 e 25.. no caso da 80 creio que seja pelo fato de estar passando pra 3128 quanto a 25 nao entendo... quando vc colocou como input... vc ta pegando conexoes externas... ou seja... nao fica funcional a regra.

Abracos.

Obrigado por sua resposta, mas se eu voltar para foward ele não marcará a conexão da porta 3128, e também não marcará a da porta 80, vamos raciocinar que se não marcar é por que não está funcionando a regra, mas, era para marcar uma das duas correto? Ou a 3128 ou a 80.

Você aplicou essa regra no seu mk? Se sim, ele marcou no mangle os paquetes da 80 ou 3128 em forward?

Abração e obrigado por sua resposta

**AirKing** · 09-09-2007, 23:58

exato... era pra marcar sim... nao entendo pq nao esta marcando.

**Roberto21** · 10-09-2007, 00:03

Postado originalmente por AirKing

exato... era pra marcar sim... nao entendo pq nao esta marcando.

Camarada, já que vc está on-line fiz uma pergunta no forum e ninguém respondeu ainda, é o seguinte... Qual a finalidade do mangle/ Só marcar, por que se eu usar o jump no firewall filter e mandar que a conexão forward seja avaliada por uma chain que eu criar ( como por exemplo Virus) se eu aplicar o jump e mandar passar toda conexão forward pelo vírus então de que me servirá o mangle?

Compreendeu a pergunta?

Abração.

**flaviomreis** · 18-10-2007, 00:09

Olá amigos! Desculpem retornar a este assunto, mas resolvi limitar em 25 conexoes tcp por cliente assim como foi explanado aqui.

O interessante é que fui na aba connections em IP -> Firewall do winbox e lá mostra-me um total de 1600 conexões, sendo que a maioria é de pacotes udp.

Como foi dito por um colega, normalmente o serviço ADSL tem um limite de conexões. Fico na dúvida de como limitar também conexões UDP, pois não parece ser da mesma forma que TCP, pois não tenho a opção limit habilitada para o protocolo UDP.

Aliás! Alguém saberia dizer qual o número de conexões simultâneas permitidas por um serviço ADSL?

Obrigado

**JHONNE** · 18-10-2007, 07:44

Seguinte pessoal, vai uma sugesta!

Fiz aqui assim, marquei todas as conexões simultâneas que passem de 25, submeti essas conexões a identificação de que sejam ou não do tipo p2p, se forem, eu dropo!

**flaviomreis** · 18-10-2007, 12:55

Voltando ao assunto, acredito que esta minha regra de limitação de conexões não funcione no meu mikrotip em modo bridge. Explicando, meu mikrotip com tres placas pci athereos em modo ap bridge, estão configuradas em bridge1 e o link é enviado do meu escritório pelo meu servidor, onde daí tenho controle de banda e squid. Reitero, a limitação de conexões funcionaria lá no meu mikrotip em bridge? Porque não parece estar funcionando, pois listo as conexões e tem clientes com muito mais que 25 ou 30 conexões simultâneas de tcp.

Fui tentar fazer o limite de conexões também no meu servidor debian gnu/linux com kernel 2.6.18, mas pelo que li, depois de muito tentar, é que esta versão do kernel não tem suporte a connlimit do iptables.

Grato por enquanto, qualquer coisa atualizo o meu kernel.

Abraços

**xnetinho** · 01-11-2007, 03:16

Postado originalmente por Roberto21

Obrigado por sua resposta, mas se eu voltar para foward ele não marcará a conexão da porta 3128, e também não marcará a da porta 80, vamos raciocinar que se não marcar é por que não está funcionando a regra, mas, era para marcar uma das duas correto? Ou a 3128 ou a 80.

Você aplicou essa regra no seu mk? Se sim, ele marcou no mangle os paquetes da 80 ou 3128 em forward?

Abração e obrigado por sua resposta

É, tô passando pelo mesmo problema tb... Todas as portas são marcadas(até a 443 que é do https), porem a porta 3128 nem a 80 não estão sendo marcadas pelo mangle... =(

Alguma luz no fim desse túnel?!

Abs.

**wimigasltda** · 09-11-2007, 15:32

Estas regras
Funcionaria com o miktoik ap brigte.

Grato

**Spartacus** · 22-11-2007, 12:23

Ola,

Amigo, o seu script realmente está muito bom...

Mas agora estou com problema para fazer uma "Sintonia Fina", por exemplo, estou com clientes que provavelmente estão com virus que enviam email spam, mas o mangle está liberando tudo na porta 25, se eu criar um filtro com o IP do cliente cliente para porta 25 só poder criar digamos 3 conexões simultaneas, não vai ter efeito pq o mangle está liberando antes de ser analizado pelo filtro correto?

Como eu resolvo este problema?

Obrigado.

**cooperrj** · 04-12-2007, 21:14

Bom mano, creio que seja so remover a regra que limite a porta 25, ae ele vai entrar para a regra de limite.

Abraços.

**cooperrj** · 04-12-2007, 21:35

So uma duvida, para liberar 1 ip do limite eu crio um accept com esse ip, mas como faria isso ao certo? Não entendi bem.
É que na empresa sao 4 torres, uma interligada na outra, queria liberar so os ips dos mks para evitar merda.

**iron** · 05-12-2007, 11:03

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no

Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

amigo AirKing, sou iniciante ainda no MK, então espero que não se incomode com perguntas tão básica como as minhas: no casso dessas suas regras o "src-address=192.168.0.0/24" se refere ao endereço da rede do seu link ? no meu caso devo adaptar para os endereços da minha rede externa e interna? ( que aki renomeei para WAN e LAN ).

**proxycomm** · 26-12-2007, 22:34

Postado originalmente por angelangra

Segundo um amigo nosso aqui do forum que me desculpe eu esquerci o nome, tem uma regra que bloqueia o Ares por exemplo e faz ele cai no controle de p2p que tem aqui no forum. Abaixo a regra que nosso amigo colocou no forum:

/ ip firewall filter
add chain=forward p2p=warez action=drop comment="Bloquear Ares" disabled=no

OI AMIGO
NESTA REGRA NAO PRECISA COLOCAR O IP
GRATO SANDRO SA

**proxycomm** · 26-12-2007, 23:14

Postado originalmente por flaviomreis

Olá amigos! Desculpem retornar a este assunto, mas resolvi limitar em 25 conexoes tcp por cliente assim como foi explanado aqui.

O interessante é que fui na aba connections em IP -> Firewall do winbox e lá mostra-me um total de 1600 conexões, sendo que a maioria é de pacotes udp.

Como foi dito por um colega, normalmente o serviço ADSL tem um limite de conexões. Fico na dúvida de como limitar também conexões UDP, pois não parece ser da mesma forma que TCP, pois não tenho a opção limit habilitada para o protocolo UDP.

Aliás! Alguém saberia dizer qual o número de conexões simultâneas permitidas por um serviço ADSL?

Obrigado

AMIGO DEPENDE DO PLANO, SE FOR EMPRESARIAL NAO TEM LIMITE, MAS SE RESIDENCIAL NO MAXIMO 30

**reginaldotg** · 03-01-2008, 18:17

gostaria de saber se essas regras de bloqueio de conexoes eu coloco direto no ap que utilizo um mk, pois o meu servidor nao é mk se funciona no ap

**JeanGutemberg** · 04-01-2008, 11:52

Postado originalmente por AirKing

Ola amigos... controlei o limite de conexoes simultaneas no meu mk... vi muitos posts no forum... ou o pessoal controlava tudo... ou entao fazia uma regra pra cada....

eu fiz de maneira diferente e parece ter dado resultado bem positivo segue abaixo meu firewall

Primeiro... Marquei os pacotes das conexoes nas portas que eu nao queria que fosse feito o limite de conexoes:

[Mangle]
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=21 \
action=mark-packet new-packet-mark=semlimite passthrough=yes \
comment="Marcando Pacotes Sem Limite Conexao" disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=22 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=23 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=25 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=53 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=110 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=443 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=8080 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no
add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=6891-6901 \
action=mark-packet new-packet-mark=semlimite passthrough=yes comment="" \
disabled=no

Agora vamos ao controle...

[Filter]
add chain=forward src-address=192.168.0.0/24 protocol=tcp tcp-flags=syn \
packet-mark=!semlimite connection-limit=25,32 action=drop comment="Limitando \
numero conexoes simultaneas" disabled=no

Ou seja... libero 25 conexoes simultaneas para cada cliente.... excluindo da regra as portas marcadas como semlimite ou seja... consigo liberar portas que acho crucial para o bom funcionamento do meu sistema.

Espero ter ajudado.
Se estiver algo errado por favor me corrijam.

Abracos.
Glauber Mattar

Bom dia,
Como uso varios Gateways eu poderia trocar a mascara dessa regra, de 192.168.0.0/24, por 192.168.0.0/16?????
Meus Gateways são, 20.20.0.1, 20.20.1.1, 20.20.2.1 etc......

Limite de Conexoes - Metodo mais flexivel.

Ferramentas de Tópicos

Parabéns

citação