Страница 1 из 2
Ограничение количества подключений
Добавлено: 16 мар 2012, 22:50
danilovav
Имеется пропускающий через себя софтовый микротик
Необходимо, например, ограничить количество подключений по порту 7777 одним
Что сделано
Код: Выделить всё
/ip firewall filter
add action=accept chain=input connection-state=established disabled=no
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=forward connection-state=established disabled=no
add action=accept chain=forward connection-state=related disabled=yes
add action=drop chain=forward connection-limit=2,32 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp
add action=accept chain=forward disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp src-address-list=client-l2.ru
В результате - ограничение не работает
Related отключил в ходе экспериментов, что с ними, что без них...
Re: Ограничение количества подключений
Добавлено: 16 мар 2012, 23:29
podarok66
Немного не в тему, простите. Я бы на вашем месте избегал знаков препинания в наименованиях (адрес-листы, соединения, пакеты и т. д. и т. п.) Не знаю, как в последних версиях, а в более ранних RouterOs не очень корректно воспринимала эти вещи (тире, точки, запятые) и могла неверно интерпретировать целые строки. Приемлемым считался только знак подчеркивания.
Еще раз извините, что влез...
Re: Ограничение количества подключений
Добавлено: 17 мар 2012, 08:04
danilovav
Спасибо за совет, учтем
Re: Ограничение количества подключений
Добавлено: 17 мар 2012, 21:18
iSupport
Прочитайте мануал по файрволу
download/file.php?id=11
Re: Ограничение количества подключений
Добавлено: 17 мар 2012, 23:16
danilovav
Непонятно... Там есть преложение дропать syn пакеты
У меня в drop правиле я пробовал ставить syn - пропускает...
Такое ощущение, что по established проходят пакеты...
Re: Ограничение количества подключений
Добавлено: 17 мар 2012, 23:40
iSupport
Правила смотрятся сверху вниз.
на против каждого правила есть №, и чем меньше номер - тем раньше срабатывает правило
Попробуйте поиграться порядком расположения правил.
Re: Ограничение количества подключений
Добавлено: 18 мар 2012, 07:10
danilovav
Я знаю как работают правила, но в микротике есть принцип пропуска established через другое правило - это неудобно...
Дроп уже выше стоит, посмотрите
Пробовал established вниз перемещать, все равно то же самое
Re: Ограничение количества подключений
Добавлено: 18 мар 2012, 12:43
iSupport
Вот из мануала
Для разрешения не более 4 конкурирующих коннектов от каждого IP адреса, вы
можете использовать это правило
/ip firewall rule forward add protocol=tcp tcp -options=syn-only connection-limit=5
action=drop
посмотрите это
protocol=tcp tcp -options=syn-only connection-limit=5
и постройте свое правило
Re: Ограничение количества подключений
Добавлено: 18 мар 2012, 18:36
danilovav
А у меня
add action=drop chain=forward connection-limit=2,32 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp
разве не то? Я пробовал ставить tcp flag = syn, но это не помогает
Я не вижу tcp -options=syn-only, это где делается?
Re: Ограничение количества подключений
Добавлено: 18 мар 2012, 20:53
podarok66
А такой вариант не сработает?
Код: Выделить всё
add action=drop chain=forward connection-limit=!1 disabled=no dst-address-list=l2.ru-servers dst-port=7777 protocol=tcp
Извините, если не очень правильно...