Stránka 1 z 1
Omezeni poctu spojeni na ip adresu s vynechanim portu.
Napsal: 10 Oct 2007 11:52
od BOBIK
Ahoj chtel bych se zeptat jestli jde omezit pocet spojeni na ip adresu tak aby to neomezilo nektere porty na kterychy bezi web icq a podobny?
nebot kdyz omezim na tvrdo pocet spojeni na ip tak nekterym klientikum prestane obcas jit net uplne? Je chyba u nich v pc v cem? mam verzi 2.9.38
Napsal: 10 Oct 2007 12:58
od deathsvk
ano da sa to vo firevali i uz na celu siet alebo na jednotne IP
Napsal: 10 Oct 2007 15:11
od BOBIK
Ja vim ze to jde ale potreboval bych poradit jak vynechat nektere ty poryt nemuzu na to prijit
Napsal: 10 Oct 2007 20:27
od Maxik
Ahoj take by me zajimalo proc mam v manglu v pravidlech connection limit zasedly, tudiz neni mozne ho zvolit, potreboval bych omezit konexe hlavne na p2p
Napsal: 10 Oct 2007 20:48
od Petr Vlašic
Maxik píše:Ahoj take by me zajimalo proc mam v manglu v pravidlech connection limit zasedly, tudiz neni mozne ho zvolit, potreboval bych omezit konexe hlavne na p2p
Je to asi rozbitý.
Napsal: 11 Oct 2007 08:37
od Zdeněk.hb
Omezení koneksí s vynecháním portů je jednoduché, stačí ve filtru dát pravidlo pro accept na konkrétní port před pravidlo které omezuje conexe.
Napsal: 11 Oct 2007 09:34
od BOBIK
Jeste bych se chtel zeptat zda port co nechci omezit ma zadat jako zdrojovy port nebo cilovy port nebo do obojiho?
Napsal: 11 Oct 2007 10:48
od Zdeněk.hb
BOBIK píše:Jeste bych se chtel zeptat zda port co nechci omezit ma zadat jako zdrojovy port nebo cilovy port nebo do obojiho?
Pokud se někdo připojuje ze sítě za mikrotikem ke službě v internetu která běží na konkrétním portu, tak se nastaví cilovy port. Tedy třeba dobrým příkladem je port 80 (http).
Pokud chceme omezit konexe ale neomezit port 80, přidáme před omezení konexí pravidlo pro accept pokud je cílový port 80.
Kód: Vybrat vše
/ip firewall filter add chain=forward protocol=tcp dst-port=80 action=accept
Po té následuje omezeni konexí:
Kód: Vybrat vše
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop
Napsal: 11 Oct 2007 14:19
od Maxik
Evidentne ten conn.limit v manglu je nejaky rozbity
Ale jde to spachat ve firewallu napr. podle konn.marku treba pro p2p dane skupiny atd.
Napsal: 11 Oct 2007 16:01
od Zdeněk.hb
Maxik píše:Evidentne ten conn.limit v manglu je nejaky rozbity
Ale jde to spachat ve firewallu napr. podle konn.marku treba pro p2p dane skupiny atd.
Kdepak .. sice nevim proc maglovat prekroceny limit konexi .. ja to rovnou dropuju ve Filtru, nicmene pro aktivaci connlimitu je třeba v General zalozce (pokud se to dela winboxem) zvolit protokol TCP pak je v Extra zalozce connlimit aktivni.
Napsal: 11 Oct 2007 16:19
od Zdeněk.hb
Nebo me napada jak omezit pocet spojeni hlavne na p2p. Treba to je blbost ale mohlo by to fungovat. Vyzkoušené nemám.
Omanglujeme p2p provoz. Zamerne pouzijeme chain prerouting aby se markovali jako prvni a vypneme passthrough aby se nám dále pakety nepřepisovali
Kód: Vybrat vše
/ip firewall mangle add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p passthrough=no comment="" disabled=no
/ip firewall mangle add chain=prerouting connection-mark=p2p action=mark-packet new-packet-mark=p2p-provoz passthrough=no comment="" disabled=no
Pak vytvorime Filter Rule, kde nas nezajima z jake na jakou ip jde paket ale primarne omezi pocet spojeni p2p provozu na kazdou IP
Kód: Vybrat vše
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn packet-mark=p2p-provoz connection-limit=20,32 action=drop comment="" disabled=no
i kdyz si nejsem jist zda to bude funkcni .. dalsi veci ale je pokud dale pouzivame mangle na omezovani rychlosti pro klienty tyto pakety budou z mangle vyjmuty. Tudíš je musíme extra omezi v queue nebo v queue tree. Coz by nam tak zase nevadilo, protoze nastavime ze p2p provoz muze valit treba jen 512kbps a vsichni kliosi si tu rychlost budou sdilet ...