Ограничение количества подключений

Обсуждение ОС и пр.
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Ограничение количества подключений

Сообщение danilovav » 16 мар 2012, 22:50

Имеется пропускающий через себя софтовый микротик
Необходимо, например, ограничить количество подключений по порту 7777 одним
Что сделано

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established disabled=no
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=forward connection-state=established disabled=no
add action=accept chain=forward connection-state=related disabled=yes
add action=drop chain=forward connection-limit=2,32 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp
add action=accept chain=forward disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp src-address-list=client-l2.ru

В результате - ограничение не работает
Related отключил в ходе экспериментов, что с ними, что без них...
podarok66
Модератор
Сообщения: 2872
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Ограничение количества подключений

Сообщение podarok66 » 16 мар 2012, 23:29

Немного не в тему, простите. Я бы на вашем месте избегал знаков препинания в наименованиях (адрес-листы, соединения, пакеты и т. д. и т. п.) Не знаю, как в последних версиях, а в более ранних RouterOs не очень корректно воспринимала эти вещи (тире, точки, запятые) и могла неверно интерпретировать целые строки. Приемлемым считался только знак подчеркивания.
Еще раз извините, что влез...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Ограничение количества подключений

Сообщение danilovav » 17 мар 2012, 08:04

Спасибо за совет, учтем :)
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Ограничение количества подключений

Сообщение iSupport » 17 мар 2012, 21:18

Прочитайте мануал по файрволу download/file.php?id=11
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Ограничение количества подключений

Сообщение danilovav » 17 мар 2012, 23:16

Непонятно... Там есть преложение дропать syn пакеты
У меня в drop правиле я пробовал ставить syn - пропускает...
Такое ощущение, что по established проходят пакеты...
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Ограничение количества подключений

Сообщение iSupport » 17 мар 2012, 23:40

Правила смотрятся сверху вниз.

на против каждого правила есть №, и чем меньше номер - тем раньше срабатывает правило


Попробуйте поиграться порядком расположения правил.
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Ограничение количества подключений

Сообщение danilovav » 18 мар 2012, 07:10

Я знаю как работают правила, но в микротике есть принцип пропуска established через другое правило - это неудобно...

Дроп уже выше стоит, посмотрите
Пробовал established вниз перемещать, все равно то же самое
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Ограничение количества подключений

Сообщение iSupport » 18 мар 2012, 12:43

Вот из мануала

Для разрешения не более 4 конкурирующих коннектов от каждого IP адреса, вы
можете использовать это правило
/ip firewall rule forward add protocol=tcp tcp -options=syn-only connection-limit=5
action=drop


посмотрите это

protocol=tcp tcp -options=syn-only connection-limit=5


и постройте свое правило
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Re: Ограничение количества подключений

Сообщение danilovav » 18 мар 2012, 18:36

А у меня
add action=drop chain=forward connection-limit=2,32 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp

разве не то? Я пробовал ставить tcp flag = syn, но это не помогает

Я не вижу tcp -options=syn-only, это где делается?
podarok66
Модератор
Сообщения: 2872
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Ограничение количества подключений

Сообщение podarok66 » 18 мар 2012, 20:53

А такой вариант не сработает?

Код: Выделить всё

add action=drop chain=forward connection-limit=!1 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp

Извините, если не очень правильно...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя