Ограничение количества подключений

Обсуждение ПО и его настройки
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Имеется пропускающий через себя софтовый микротик
Необходимо, например, ограничить количество подключений по порту 7777 одним
Что сделано

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established disabled=no
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=forward connection-state=established disabled=no
add action=accept chain=forward connection-state=related disabled=yes
add action=drop chain=forward connection-limit=2,32 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp
add action=accept chain=forward disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp src-address-list=client-l2.ru

В результате - ограничение не работает
Related отключил в ходе экспериментов, что с ними, что без них...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Немного не в тему, простите. Я бы на вашем месте избегал знаков препинания в наименованиях (адрес-листы, соединения, пакеты и т. д. и т. п.) Не знаю, как в последних версиях, а в более ранних RouterOs не очень корректно воспринимала эти вещи (тире, точки, запятые) и могла неверно интерпретировать целые строки. Приемлемым считался только знак подчеркивания.
Еще раз извините, что влез...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Спасибо за совет, учтем :)


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Прочитайте мануал по файрволу download/file.php?id=11


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Непонятно... Там есть преложение дропать syn пакеты
У меня в drop правиле я пробовал ставить syn - пропускает...
Такое ощущение, что по established проходят пакеты...


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Правила смотрятся сверху вниз.

на против каждого правила есть №, и чем меньше номер - тем раньше срабатывает правило


Попробуйте поиграться порядком расположения правил.


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

Я знаю как работают правила, но в микротике есть принцип пропуска established через другое правило - это неудобно...

Дроп уже выше стоит, посмотрите
Пробовал established вниз перемещать, все равно то же самое


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Вот из мануала

Для разрешения не более 4 конкурирующих коннектов от каждого IP адреса, вы
можете использовать это правило
/ip firewall rule forward add protocol=tcp tcp -options=syn-only connection-limit=5
action=drop


посмотрите это

protocol=tcp tcp -options=syn-only connection-limit=5


и постройте свое правило


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
danilovav
Сообщения: 110
Зарегистрирован: 08 дек 2011, 05:56

А у меня
add action=drop chain=forward connection-limit=2,32 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp

разве не то? Я пробовал ставить tcp flag = syn, но это не помогает

Я не вижу tcp -options=syn-only, это где делается?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А такой вариант не сработает?

Код: Выделить всё

add action=drop chain=forward connection-limit=!1 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp

Извините, если не очень правильно...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить