Omezeni poctu spojeni na ip adresu s vynechanim portu.

BOBIK · Příspěvekod **BOBIK** » 18 years ago

Ahoj chtel bych se zeptat jestli jde omezit pocet spojeni na ip adresu tak aby to neomezilo nektere porty na kterychy bezi web icq a podobny?
nebot kdyz omezim na tvrdo pocet spojeni na ip tak nekterym klientikum prestane obcas jit net uplne? Je chyba u nich v pc v cem? mam verzi 2.9.38

deathsvk · Příspěvekod **deathsvk** » 18 years ago

ano da sa to vo firevali i uz na celu siet alebo na jednotne IP

BOBIK · Příspěvekod **BOBIK** » 18 years ago

Ja vim ze to jde ale potreboval bych poradit jak vynechat nektere ty poryt nemuzu na to prijit

Maxik · Příspěvekod **Maxik** » 18 years ago

Ahoj take by me zajimalo proc mam v manglu v pravidlech connection limit zasedly, tudiz neni mozne ho zvolit, potreboval bych omezit konexe hlavne na p2p

Petr Vlašic · Příspěvekod **Petr Vlašic** » 18 years ago

Maxik píše:Ahoj take by me zajimalo proc mam v manglu v pravidlech connection limit zasedly, tudiz neni mozne ho zvolit, potreboval bych omezit konexe hlavne na p2p

Je to asi rozbitý.

Zdeněk.hb · Příspěvekod **Zdeněk.hb** » 18 years ago

Omezení koneksí s vynecháním portů je jednoduché, stačí ve filtru dát pravidlo pro accept na konkrétní port před pravidlo které omezuje conexe.

BOBIK · Příspěvekod **BOBIK** » 18 years ago

Jeste bych se chtel zeptat zda port co nechci omezit ma zadat jako zdrojovy port nebo cilovy port nebo do obojiho?

Zdeněk.hb · Příspěvekod **Zdeněk.hb** » 18 years ago

BOBIK píše:Jeste bych se chtel zeptat zda port co nechci omezit ma zadat jako zdrojovy port nebo cilovy port nebo do obojiho?

Pokud se někdo připojuje ze sítě za mikrotikem ke službě v internetu která běží na konkrétním portu, tak se nastaví cilovy port. Tedy třeba dobrým příkladem je port 80 (http).

Pokud chceme omezit konexe ale neomezit port 80, přidáme před omezení konexí pravidlo pro accept pokud je cílový port 80.

Kód: Vybrat vše

/ip firewall filter add chain=forward protocol=tcp dst-port=80 action=accept

Po té následuje omezeni konexí:

Kód: Vybrat vše

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop

Maxik · Příspěvekod **Maxik** » 18 years ago

Evidentne ten conn.limit v manglu je nejaky rozbity

Ale jde to spachat ve firewallu napr. podle konn.marku treba pro p2p dane skupiny atd.

Zdeněk.hb · Příspěvekod **Zdeněk.hb** » 18 years ago

Maxik píše:Evidentne ten conn.limit v manglu je nejaky rozbity Ale jde to spachat ve firewallu napr. podle konn.marku treba pro p2p dane skupiny atd.

Kdepak .. sice nevim proc maglovat prekroceny limit konexi .. ja to rovnou dropuju ve Filtru, nicmene pro aktivaci connlimitu je třeba v General zalozce (pokud se to dela winboxem) zvolit protokol TCP pak je v Extra zalozce connlimit aktivni.

Zdeněk.hb · Příspěvekod **Zdeněk.hb** » 18 years ago

Nebo me napada jak omezit pocet spojeni hlavne na p2p. Treba to je blbost ale mohlo by to fungovat. Vyzkoušené nemám.

Omanglujeme p2p provoz. Zamerne pouzijeme chain prerouting aby se markovali jako prvni a vypneme passthrough aby se nám dále pakety nepřepisovali

Kód: Vybrat vše

/ip firewall mangle add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p passthrough=no comment="" disabled=no

/ip firewall mangle add chain=prerouting connection-mark=p2p action=mark-packet new-packet-mark=p2p-provoz passthrough=no comment="" disabled=no

Pak vytvorime Filter Rule, kde nas nezajima z jake na jakou ip jde paket ale primarne omezi pocet spojeni p2p provozu na kazdou IP

Kód: Vybrat vše

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn packet-mark=p2p-provoz connection-limit=20,32 action=drop comment="" disabled=no

i kdyz si nejsem jist zda to bude funkcni .. dalsi veci ale je pokud dale pouzivame mangle na omezovani rychlosti pro klienty tyto pakety budou z mangle vyjmuty. Tudíš je musíme extra omezi v queue nebo v queue tree. Coz by nam tak zase nevadilo, protoze nastavime ze p2p provoz muze valit treba jen 512kbps a vsichni kliosi si tu rychlost budou sdilet ...