Ограничение на конекции на ip от локалната мрежа?

[master]

След известно време ровене в нета не успях да намеря решение. Искам да огранича едно ip по конекции. Версията на мт е 5,26.

[stanstanyov]

Прави се в IP-Firewall-Filter. Опцията е Connection Limit. През Winbox в раздел Extra.

[master]

Благодаря, аз вчера точно така я направих но правилото не сработва и не мога да разбера защо все още.

chain=input action=drop src-address=xx.xx.xx.xx connection-limit=1000,32

[stanstanyov]

chain=forward protocol=tcp tcp-flags=syn или connection-state=new. Може и in-interface=хххх ако има нужда. Провери и дали няма правило над това, което да го обезсмисля.

И защо 1000? Това е все едно нищо не си ограничил, освен ако не бориш някакъв флуд.

[master]

1000 e примерно, пробвах и с 1 и с 10 няма никаква разлика. Нямам никакви аналогични правила.

[stanstanyov]

Тоест не отчиташ никакви пакети да хваща?

Виж с нещата, които ти добавих по-горе дали е пак така.

По принцип лесно можеш да провериш дали едно правило изобщо работи, като го направиш за тест само drop и му пуснеш log.

 

P. S. Може би, ако споделиш точно какъв проблем се опитваш да решиш, ще получиш по-подходящи съвети. По принцип connection-limit не е кой знае какво.

Edited December 3, 2015 by stanstanyov

[master]

Пробвах и с предните неща, когато направих с connection-state=new отчете 2 пакета. Иначе нямам отметка лог при тази версия та затова направих същото преди него но не с дроп а с лог и нищо. Ако работеше и му задам connection 1 или 10 няма как да не дропи тъй като от няколко месеца 24/7 торентите не са спирали.

[stanstanyov]

На forward го правиш, нали? Щом за торенти става въпрос. Опитай с чист drop, да видим дали ловиш изобщо нещо. Логът така се прави на по-старите версии както си го направил.

Ако на дропене веднага започне да ти пълни лога, значи просто няма нови конекции в момента при limit.

Edited December 3, 2015 by stanstanyov

[master]

Ето какво точно е правилото :

chain=forward action=drop protocol=udp src-address=ХХ.ХХ.ХХ.ХХ connection-limit=50,32

Пробвах с и без Protocol беше едно и също. След ресет на рутера на заводски настройки и връщането му от бекъп файл се оправи и започна да отчита!

Това ми го прави за втори път и не мога да разбера защо, като се случва избирателно на определени правила.

[stanstanyov]

Аха, значи за UDP ставало въпрос. То, по принцип, няма такова нещо като UDP connection. Това са по-скоро сесии. По-новите версии на МТ могат да ограничават и техния брой, но е по-особено. Можеш в Connections да намалиш UDP Timeout. Не забравяй да коментираш 53-ти порт, за да изключиш DNS от лимита.

По принцип има други по-успешни методи за контрол на UDP и в частност на p2p - чрез mangle и т. н.

[master]

Няма да е само удп.. Оставих го за всичко.