BFW Firewall & Router

[rhine-pr]

Bom dia a todos os amigos,

Apos varios testes acabei confirmando o que eu estava desconfiando ja ha muito tempo, o controle de numero de conexoes das subredes nao funciona, ele mascara o que e nosso pior pesadelo, o numero absurdo de conexoes que um mesmo usuario abre usando bittorrent ou p2p, teve uma versao anterior em que o controle funcionava, quem se habilita pra resolvermos ?
Feliz Natal e prospero ano novo pra todos ...

[weslei]

Salve!!

Testado e comprovado, não esta funcionando.. vou dar uma olhada para ver em que posso ajudar...

Valew Grande Rhine..

Abraço

[rhine-pr]

Estou fazendo experiencia usando o squid pra controlar, to usando o valor em 20 conexao por usuario, por hora ta fungando...

[pac_rs_124]

Está ativando a opção:

Ativar Qtd. máxima de conexão: [ 20 ] Qtd. de conexões por usuário ??

Isso não era pra bloquear o número máximo de conexões da REDE?

[rhine-pr]

Está ativando a opção:

Ativar Qtd. máxima de conexão: [ 20 ] Qtd. de conexões por usuário ??

Isso não era pra bloquear o número máximo de conexões da REDE?

Parece que nao ne, e por usuario, o que vc ta falando fica em configuracoes administrativas

Qtd. de conexões por usuário

[rhine-pr]

Com o squid usando 20 conexoes continua tudo ok ... a unica pena e que eu fiz alguns testes com as portas altas 1025 a 65500 e ele nao controla essas portas ... uma pena.

[rhine-pr]

Entao galera, alguem pode ajudar ?
Essa questao do controle e fundamental, ja tentei editar varios arquivos, mas nao encontro nada, sera que a administracao pode dar uma força ? o que eu preciso e remover o con limit da raiz do sistema q vem d full para poder fazer manualmentecomo nas versoes anteriores a essa.

[cyberpoint]

Ae galera é o seguinte minha internet é de apenas 1 mega, rodando Provedor de internet Wireless com 12 clientes, concluindo internet fraca e muita gente conectado, imaginem se 3 clientes abre o emule ao mesmo tempo, minha única solução foi: "Bloqueio Total aos Programas P2P" (Ares, Emule, Bittorrent, Limeware e outras maldições do Gênero) aqui funcionou de uma tal maneira que o Emule não conecta, limeware não encontra musicas nem vídeos nem nada, bittorrent não encontra outros clientes na rede e conseqüentemente não baixa nada, mas chega de conversa e vamos por a mão na massa, espero que funcione pra todo mundo:
1º Entre no Web Admin, Configuração Simplificada do Firewall e em "Filtragem de Protocols Level 7" adicione os seguintes nomes das redes:

ares
directconnect
edonkey
fasttrack
gnutella

depois clique em "Enviar" e "BackUp"
Obs.: se fizer só esse primeiro passo infelizmente o bloqueio não funciona, alias se vc fizer somente o 2º Passo o bloqueio já funciona mas aconselho fazer os 2 , não custa nada.

2º Passo clique em "Configuração Avançada do Firewall" e depois em "Editar Regras Personalizadas " desça até o final e cole isso aqui lá:

# limite de conexões
iptables -t mangle -F CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT
iptables -t mangle -X CONNLIMIT
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 01 --connlimit-mask 32 -j DROP


Atenção: notem que as portas de 1024 até 65535 terão apenas o Limite de " 01" conexão com exceção da porta "1863" essa porta é responsável pelo Messenger (MSN) isso quer dizer que no MSN os clientes poderão receber varias conexões simultâneas o que não são muitas, alias pouquíssimas, mas as outras portas todas terão o Limite de " 01 " conexão (fica ao gosto de cada um aumentar o numero de conexões, isso é personalizavel) aqui coloquei apenas " 01" por que os programas P2P nunca vão conseguir conectar, e essa é minha intenção.

depois de colar clique em "OK" BackUp e Reboot
Espero ter ajudado e pelo amor de DEUS e nosso Senhor Jesus Cristo se funcionar certinho ai, como aqui funcionou, volte aqui ao tópico e diga que funcionou, não para me agradecer, nada disso apenas estou ajudando como um dia também me ajudaram , mas para mostrar a outros usuários que essa solução dá certo, assim vamos eliminando problemas e juntando soluções.
Deus abençõe à todos em nome de Jesus e Feliz Ano novo à Todos !!!
wanderley85@msn.com

[rhine-pr]

Amigo Wanderley,

Fico grato pela sua força de vontade, mas nao e bem assim que as coisas funcionam, um provedor de internet deve dar aos seus usuarios acesso total a internet, nao pode haver nehum tipo de bloqueio, essas regras do con limit nao funcionam na versao 2.31.10, eu ajudei desenvolver uma versao mais completa pra controlar o numero de conexoes, mas que serve so pra versao 2.30, vc num precisa aplicar esses bloqueios no firewall, cobre o que acha justo, mas nao impeça seus clientes de baixar ou usar ferramentas boas, 1 mega de internet e o suficiente pra atender 25 clientes com 150 kbps cada, todos podem usar bittorent ou emule e outrosao mesmo tempo inclusve que nao vai atrapalhar, a questao e controlar o numero de conexao por usuario, se usar a versao antiga, por exe 2.30 ou 2.29, o con limit vai controlar legal, o problema e que na versao nova, da 2.31.1 ate 2.31.10 a ideia foi de colocar esse controle de forma simples e facil, na hora de criar a sub rede vc ja escolhe o numero de conexao por cliente, o problema e que nao esta funcionando.
O numero ideal pra vc trabalhar com o con limite para que seus clientes tenham uma boa navegacao, baixando filmes e musicas sem prejudicar a rede, e de 30 conexoes por usuario, poso te garantir tudo isso que escrevi aqui, so peço da sua parte um pouco mais de estudo e atencao antes de postar, em meus posts tem bastante coisa a respeito de numero de conexoes con limit etc...
Um grande abraco e que Deus nos abencoe nesse novo ano, feliz ano novo a todos.

[msia]

O conlimite so nao esta funcionando com sub redes ?

[rhine-pr]

faça esse teste pra nos, depois posta aqui . um abraco

[hugoconnect]

com subredes. .nao ta fucionando foi falado em outro topico!!
obrigado!

[reytek]

Bom eu uso a verçao 2.31.10 sem subrede e o bloqueio funciona, só testei por enquanto no ares e bloqueou legal, vou testar outros assimque puder e posto aqui os resultados.

[rhine-pr]

Bom eu uso a verçao 2.31.10 sem subrede e o bloqueio funciona, só testei por enquanto no ares e bloqueou legal, vou testar outros assimque puder e posto aqui os resultados.

Atenção pessoal,
A questao nao e bloqueio, e sim controle, ele nao ta controlando o numero de conexoes, vamos ler com um pouco mais de atencao o topico .
Estarei fazendo alguns testes com versoes anteriores, nao tenho certeza, mas acredito que uma das versoes de teste tava controlando , assim q tiver algo eu posto aqui.

[IceMan - Brazil]

Fiquei na duvida agora.
O controle de conexões que não ta funcionando é so o de subredes, ou para sem subredes também não funciona ?

Eu uso essa regra:

Código: Selecionar todos

# limite de conexões por cliente
iptables -t mangle -F CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1:79 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 81:1862 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT
iptables -t mangle -X CONNLIMIT
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1:79 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 81:1862 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1864:65535 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP

Apenas a porta 80 e a 1863 fora da regra.

Porem ao dar reload firewall, ele aparece isso:

Código: Selecionar todos

Configuring firewall rules...
Configuring custom firewall rules...
iptables: No chain/target/match by that name
iptables: Too many links
iptables: Chain already exists
Configuring port forwarding for internal hosts...
Running Line UP Scripts...
:
Current IP : 201.13.68.114
www.no-ip.com : Old IP : 201.13.68.114
www.no-ip.com : The Update of xxxxxxxx.no-ip.com is not needed
Setting clock using timeserver br.pool.ntp.org: Success.
Set the bios clock using timeserver


E se der reload de novo, o aviso "iptables: No chain/target/match by that name" não aparece mais.
E no monitor ligado no BFW fica aparecendo isso:

Código: Selecionar todos

BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=213.22.244.110 DST=201.13.68.114 LEN=144 TOS=0x00 PREC=0x00 TTL=110 ID=12360 DF PROTO=TCP SPT=23547 DPT=4161 WINDOW=16097 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:03 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=89.142.23.117 DST=201.13.68.114 LEN=162 TOS=0x00 PREC=0x00 TTL=111 ID=30451 PROTO=TCP SPT=39354 DPT=4302 WINDOW=17321 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:04 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=69.112.192.53 DST=201.13.68.114 LEN=1492 TOS=0x00 PREC=0x00 TTL=115 ID=20832 DF PROTO=TCP SPT=6218 DPT=1887 WINDOW=64799 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:06 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=123.231.84.221 DST=201.13.68.114 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=7371 DF PROTO=TCP SPT=21475 DPT=4443 WINDOW=64800 RES=0x00 ACK FIN URGP=0
Jan  3 22:56:06 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=82.3.163.44 DST=201.13.68.114 LEN=45 TOS=0x00 PREC=0x00 TTL=112 ID=36341 DF PROTO=TCP SPT=8420 DPT=4446 WINDOW=64327 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:06 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=74.140.132.204 DST=201.13.68.114 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=7838 PROTO=TCP SPT=11744 DPT=3944 WINDOW=0 RES=0x00 RST URGP=0
Jan  3 22:56:08 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=209.105.222.189 DST=201.13.68.114 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=24816 DF PROTO=TCP SPT=58438 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0
Jan  3 22:56:08 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=67.170.137.137 DST=201.13.68.114 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=47660 DF PROTO=TCP SPT=2007 DPT=32875 WINDOW=65535 RES=0x00 SYN URGP=0
Jan  3 22:56:09 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=70.145.105.18 DST=201.13.68.114 LEN=158 TOS=0x00 PREC=0x00 TTL=108 ID=30367 PROTO=TCP SPT=51459 DPT=4220 WINDOW=63980 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:09 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=142.162.9.209 DST=201.13.68.114 LEN=83 TOS=0x00 PREC=0x00 TTL=109 ID=42107 DF PROTO=TCP SPT=49898 DPT=4166 WINDOW=64135 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:11 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=189.108.119.117 DST=201.13.68.114 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=58327 DF PROTO=TCP SPT=41679 DPT=6881 WINDOW=65535 RES=0x00 SYN URGP=0
Jan  3 22:56:11 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=124.169.37.139 DST=201.13.68.114 LEN=133 TOS=0x00 PREC=0x00 TTL=112 ID=13314 DF PROTO=TCP SPT=37297 DPT=4399 WINDOW=65436 RES=0x00 ACK PSH URGP=0
Jan  3 22:56:11 BFW user.warn kernel: BLOCKED CONNECTION:IN=ppp0 OUT= MAC= SRC=209.105.222.189 DST=201.13.68.114 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=24913 DF PROTO=TCP SPT=58438 DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0


Agora pergunto:

Essa regra funciona, ou faz parte da discução de que não funciona ?


OBS: Tenho o advrouter.tgz

[rhine-pr]

Grande Ice Man,

Eu coloquei as regras aqui e parece q funcionou, eu uso assim:

Código: Selecionar todos

iptables -t mangle -F CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 5191:8079 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8181:65535 -j CONNLIMIT
iptables -t mangle -X CONNLIMIT
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 5191:8079 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8181:65535 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

[rhine-pr]

Deu certo sim, que saudade dessas regrasssss:

(pra ver e so ir em ferramentas de diagnostico, regas atives no magle

Chain POSTROUTING (policy ACCEPT 27442 packets, 12M bytes)
pkts bytes target prot opt in out source destination
27878 12M l7-filter all -- * * 0.0.0.0/0 0.0.0.0/0
27878 12M Subnet_qos all -- * * 0.0.0.0/0 0.0.0.0/0
726 284K CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto ares
0 0 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto bittorrent
0 0 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto directconnect
6 392 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto edonkey
0 0 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto fasttrack
6346 7263K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:1862
4338 2072K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1864:5189
267 25655 CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:5191:8079
0 0 CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:8081:8179
2476 417K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:8181:65535

Chain CONNLIMIT (10 references)
pkts bytes target prot opt in out source destination
436 20896 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW,ESTABLISHED,UNTRACKED #conn/32 > 12

[IceMan - Brazil]

Grande Ice Man,

Eu coloquei as regras aqui e parece q funcionou, eu uso assim:

iptables -t mangle -F CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 5191:8079 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8181:65535 -j CONNLIMIT
iptables -t mangle -X CONNLIMIT
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 5191:8079 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8181:65535 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

Onde exatamente vc colocou essas regras?
Se coloca em regras personalizadas do firewall, ele da essas mensagens ao dar reload:

Código: Selecionar todos

Configuring firewall rules...
Configuring custom firewall rules...
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.4-20060123: Couldn't find target `CONNLIMIT'

Try `iptables -h' or 'iptables --help' for more information.
iptables: No chain/target/match by that name
Configuring port forwarding for internal hosts...
Running Line UP Scripts...


[rhine-pr]

Veja bem Ice-man,

Quando eu fiz o post acho q nao me expressei bem, o que eu notei e que o conlimit implantado por "D FULL" nessa nova versao do bfw devia funcionar pelo numero de conexoes escolhido na criacao das subredes:
subnet y 1 10.128.10.1 30 y y 32 256 64 128 LAN1 1 32 #

O fato e que se usar esse numero em 2, 3 ou em 1000 nao ta controlando o numero de conexoes com devia, esse erro que esta dando no seu sistema deu tmb no meu, quando tentei colocar o conlimit manualmente usando a versao 2.31.8 recebi essa mesma msg, agora usando a versao 2.31.10 eu notei que o conlimit que devia vir por "D FULL" na subrede nao estava fungando, arrisquei joga-lo manualmente como a gente fazia na versao estavel 2.30.1
resultado:

Configuring firewall rules...
Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...
Checking need for update...
Current IP...: 189.114.215.2
Old IP.......: 189.114.215.2
The update of cianortinho.no-ip.org is not needed
Flush all old rules or create the chain if it is the first time
Not proxy app.radio.musica.uol.com.br
Not proxy bb.com.br
Not proxy hsbc.com.br
Configuring Transparent Proxy to Squid
Forwarding net 192.168.25.2
Forwarding net 192.168.26.2
Forwarding net 192.168.27.2

ta fungando certinho sem erros, eu fui em regras ativas no mangle e la esta belo e formoso nosso con limit funcionando perfeitamente:

Chain POSTROUTING (policy ACCEPT 10M packets, 4342M bytes)
pkts bytes target prot opt in out source destination
11M 4345M l7-filter all -- * * 0.0.0.0/0 0.0.0.0/0
11M 4345M Subnet_qos all -- * * 0.0.0.0/0 0.0.0.0/0
221 32154 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto ares
749 606K CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto bittorrent
0 0 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto directconnect
2073 750K CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto edonkey
0 0 CONNLIMIT all -- * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto fasttrack
16308 20M CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1024:1862
10565 4218K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:1864:5189
2889 1344K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:5191:8079
234 136K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:8081:8179
16869 5640K CONNLIMIT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:8181:65535

Chain CONNLIMIT (10 references)
pkts bytes target prot opt in out source destination
460 69096 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0

Tentei de diversas outras maneiras mexer nos arquivos /etc/rc.d/rc.qos e rc.qos.subnet
mas nao consegui nada, vi ontem o que vc postou acei interressante tentar, ja coloquei nos tres servidores que eu uso aqui, todos eles fizeram da mesma forma, no primeiro reload deu aquele erro padrao e no segundo carregou certinho...

Mas o objetivo do post ainda e a correcao do numero de conexoes pela subrede sem precisar de colocar esse script do con limit, me parece q o weslei conseguiu algo, ele vai fazer alguns testes e quando puder da um alo pra gente.

[rhine-pr]

Eu coloquei as regras em

Editar Regras Personalizadas

[andrefellows]

Senhores, para o connlimit pegar as subredes tem que colocar:

iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 24 -j DROP

o 32 significa o IP e não a subrede

original:
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 32 -j DROP

[rhine-pr]

Andre,

O caso nao e bem esse, o con limit funciona com mascara 32 em todos os ips, se usar mascara 24 ele vai criar o limite pra rede /24 , o conlimit funga, o problemas e o controle de conexoes quem vem por D FULL no bfw quando voce criar a subrede, ele nao ta controlando o numero de conexao por subrede como deveria, voltar a usar o conlimit foi uma opcao ate corrigir o arquivo rc.qos.subnet ou seja la qual for ...

[luapufo]

Andre,

O caso nao e bem esse, o con limit funciona com mascara 32 em todos os ips, se usar mascara 24 ele vai criar o limite pra rede /24 , o conlimit funga, o problemas e o controle de conexoes quem vem por D FULL no bfw quando voce criar a subrede, ele nao ta controlando o numero de conexao por subrede como deveria, voltar a usar o conlimit foi uma opcao ate corrigir o arquivo rc.qos.subnet ou seja la qual for ...

voce usa as alterações do marcos, aquela para usar " IMQ "

[Alvaro.dm]

Pessoal
O 'erro' que aparece na primeira vez que são inseridas as regras do conlimit na realidade não é um erro pois reparem que as primeiras regras são para retirar do firewall (D) os comando e evitar que sejam inseridas novamente a cada reload do firewall. Como na primeira vez não existe essas regras o iptables diz que não achou aquelas regras, apenas isso.
Grande abraço a todos, e um ótimo feliz ano novo.
AlvaroDM

[rhine-pr]

Andre,

O caso nao e bem esse, o con limit funciona com mascara 32 em todos os ips, se usar mascara 24 ele vai criar o limite pra rede /24 , o conlimit funga, o problemas e o controle de conexoes quem vem por D FULL no bfw quando voce criar a subrede, ele nao ta controlando o numero de conexao por subrede como deveria, voltar a usar o conlimit foi uma opcao ate corrigir o arquivo rc.qos.subnet ou seja la qual for ...

voce usa as alterações do marcos, aquela para usar " IMQ "

Nao Luapufo

[Marcos do Vale]

Srs,

A alteração que houve em relação ao connlimit da versão 2.30.x para a 2.31.x foi a transferência das regras da tabela mangle para a tabela nat.

[weslei]

Srs,

A alteração que houve em relação ao connlimit da versão 2.30.x para a 2.31.x foi a transferência das regras da tabela mangle para a tabela nat.

Bom dia,

Marcos sim isso nós notamos... aparece Drop na tabela e tem alguma coisa sendo bloqueada, mas não esta legal!!

Se você abrir um torrent, e começar a navegar, ele vai para 100, 80 conexões e fica nisso, mesmo o numero de conexões estando limitado a 50..

Aplicando as regras separadas, ou seja em um arquivo executável, esta se obtendo um resultado justo e perfeito!

Esta setado em 30 conexões por IP, não passa disso..
Outra coisa, deixamos de fora a porta 80 e mais algumas, então o cara pode estar no torrent ou algo assim, e mesmo assim a navegação continua legal!!

Portas fora, Skype, Voip, MNS, portas do BFW, 80, entre outras poucas...

Ps. tenho um cliente de torrent no linux, me baseio nele para falar de numero de conexões, pois ele informa quantas conexões estão abertas no momento...

[rhine-pr]

Com jeitinho a gente chega la ...
Confirmo o q o mestre Weslei falou, o limite aparece sim no quadro como o marcos disse, mas ele nao esta atuando, nao descarta nada, drop = 0 em todas subredes, imagina 50 clientes on line sem nenhum drop de conexao ...

[jm_athayde]

Andre,

O caso nao e bem esse, o con limit funciona com mascara 32 em todos os ips, se usar mascara 24 ele vai criar o limite pra rede /24 , o conlimit funga, o problemas e o controle de conexoes quem vem por D FULL no bfw quando voce criar a subrede, ele nao ta controlando o numero de conexao por subrede como deveria, voltar a usar o conlimit foi uma opcao ate corrigir o arquivo rc.qos.subnet ou seja la qual for ...

ok masi uma coisa vc tem que ter em mente vc nao vai colocar mais de uma pessoa para cada sub-rede criada entao a regra iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 24 -j DROP pode util ate solucionar o problema.

[weslei]

Andre,

O caso nao e bem esse, o con limit funciona com mascara 32 em todos os ips, se usar mascara 24 ele vai criar o limite pra rede /24 , o conlimit funga, o problemas e o controle de conexoes quem vem por D FULL no bfw quando voce criar a subrede, ele nao ta controlando o numero de conexao por subrede como deveria, voltar a usar o conlimit foi uma opcao ate corrigir o arquivo rc.qos.subnet ou seja la qual for ...

ok masi uma coisa vc tem que ter em mente vc nao vai colocar mais de uma pessoa para cada sub-rede criada entao a regra iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 12 --connlimit-mask 24 -j DROP pode util ate solucionar o problema.

Posso estar muito enganado, e isso já foi explicado aqui...
/24 engloba todo o sistema, então 12 conexões vai saturar tudo, niguem vai fazer nada..
/32 por ip, aplica a regra por ip!!!

Abraço

[rhine-pr]

Vamos observar com um pouco mais de atencao pessoal, grande Weslei, voce esta certo, pessoal nao confunda mascara de ip, 255.255.255.0 com o que e feito no conlimit, /24 engloba toda rede, vc esta dizendo que todo mundo junto so pode usar por exemplo 32 conexoes simultaneas, o ideal e isso eu ja testei e tenho varios post a respeito e usar /32, assim todos ips que navegarem por esse servidor, nao importa se ele tem mascara de ip /24 / 29 /30 enfim e feito o controle por ip...

[jm_athayde]

ok , compriendi o que foi falado , mais entao nao adianta colocar este tipo de regra no fire pois nao serve para nada , correto ? andei notando mesmo em minha rede que esta lenta demais, e nao intendia o que poderia estar acontecendo , deve ser o pessoal usando muito p2p e eu nao estava vendo pois estva seguro que esta regra estava dando conta de tudo .Bom vou esperar vcs que entendem mais deste sistema para ver se tem solução.

[weslei]

ok , compriendi o que foi falado , mais entao nao adianta colocar este tipo de regra no fire pois nao serve para nada , correto ? andei notando mesmo em minha rede que esta lenta demais, e nao intendia o que poderia estar acontecendo , deve ser o pessoal usando muito p2p e eu nao estava vendo pois estva seguro que esta regra estava dando conta de tudo .Bom vou esperar vcs que entendem mais deste sistema para ver se tem solução.

A regra /32 funciona que nem uma luva..

ta perfeita..

Essa é a solução...

[rhine-pr]

ok , compriendi o que foi falado , mais entao nao adianta colocar este tipo de regra no fire pois nao serve para nada , correto ? andei notando mesmo em minha rede que esta lenta demais, e nao intendia o que poderia estar acontecendo , deve ser o pessoal usando muito p2p e eu nao estava vendo pois estva seguro que esta regra estava dando conta de tudo .Bom vou esperar vcs que entendem mais deste sistema para ver se tem solução.

Amigo,
Voce deve ler com atencao porque vc nao compreendeu nada do q foi falado, toda regra serve, nos estamos nos referindo aqui a DUAS COISAS, uma e o controle de conexao feita por d'full nas subredes e outra sao as regras de controle de trafeco p2p e outros que eu postei, presta atencao e nao magoa o povo, esse papo de nao serve pra nada nao encaixa aqui, as regra sim podem resolver o problema da sua lentidao servindo a voce como uma luva ...
um abraço

[jm_athayde]

OK , masi que estou com problemas ainda estou , vou tentar resolver aqui mesmo , estudando. boa noite a todos.

[weslei]

OK , masi que estou com problemas ainda estou , vou tentar resolver aqui mesmo , estudando. boa noite a todos.

Mesmo a solução estando na cara, todos ficam a espera de um milagre!!!

Código: Selecionar todos

# limite de conexões por cliente
iptables -t mangle -F CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 5191:7999 -j CONNLIMIT
#iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8189:65535 -j CONNLIMIT
iptables -t mangle -X CONNLIMIT
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 5191:7999 -j CONNLIMIT
#iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8189:65535 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP

coloca no Script inicial do BFW..

No meu eu alterei a seguinte linha do rc.subnet

Código: Selecionar todos

-m connlimit --connlimit-above $CONLIMIT --connlimit-mask 32 -j DROP; }

Para

Código: Selecionar todos

-m connlimit --connlimit-above 300 --connlimit-mask 32 -j DROP; }

Assim o connlimit da subredes vai liberar 300 conexões por subrede, e chega o connlimit do rc.script e faz o papel de Lobo Mau e segura todo mundo, nas portas altas excluindo 80 entre outras muito uteis que já foram citadas aqui...

Agora é só comer o bolo com cafezinho.. rsrsrs

Abraço

[andrefellows]

Mas 300 por subrede nao é demais nao?
Se uma pessoa so está na subrede, vai ter as 300 conexoes livres.

Na regra com mascara 32 vai freiar qualquer ip...

[weslei]

Mas 300 por subrede nao é demais nao?
Se uma pessoa so está na subrede, vai ter as 300 conexoes livres.

Na regra com mascara 32 vai freiar qualquer ip...

a regra da subrede é só para liberar as conexões para a proxima regra segurar, já que o connlimit da subrede, não esta fazendo seu papel de acordo..

/32 vai pergar ip por ip da sua subrede a aplicar o connlimit nele....

Pode testar, fiz exaustivos testes, tenho 3 servers rodando essa configuração, todos estão perfeitos...
Os testes foram feitos usando torrent e navegação ao mesmo tempo...

[jm_athayde]

OK , masi que estou com problemas ainda estou , vou tentar resolver aqui mesmo , estudando. boa noite a todos.

Mesmo a solução estando na cara, todos ficam a espera de um milagre!!!

Código: Selecionar todos

# limite de conexões por cliente
iptables -t mangle -F CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -D POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 5191:7999 -j CONNLIMIT
#iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -D POSTROUTING -p TCP -d 0/0 --dport 8189:65535 -j CONNLIMIT
iptables -t mangle -X CONNLIMIT
iptables -t mangle -N CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto ares -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j CONNLIMIT
iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1024:1862 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 1864:5189 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 5191:7999 -j CONNLIMIT
#iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8081:8179 -j CONNLIMIT
iptables -t mangle -A POSTROUTING -p TCP -d 0/0 --dport 8189:65535 -j CONNLIMIT
iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 30 --connlimit-mask 32 -j DROP

coloca no Script inicial do BFW..

No meu eu alterei a seguinte linha do rc.subnet

Código: Selecionar todos

-m connlimit --connlimit-above $CONLIMIT --connlimit-mask 32 -j DROP; }

Para

Código: Selecionar todos

-m connlimit --connlimit-above 300 --connlimit-mask 32 -j DROP; }

Assim o connlimit da subredes vai liberar 300 conexões por subrede, e chega o connlimit do rc.script e faz o papel de Lobo Mau e segura todo mundo, nas portas altas excluindo 80 entre outras muito uteis que já foram citadas aqui...

Agora é só comer o bolo com cafezinho.. rsrsrs

Abraço

Este teu comentario foi muito imbecil e infantil , nunca postei nada aqui pra ficar de sangue suga , outra coisa quando falei em estudar foi isto mesmo , (ESTUDO PARA NAO PRECISAR DE INFORMAÇOES DE GENTE QUE NAO TEM PASCIENCIA).Mesmo assim valeu e agradeço por ter perdido seu tempo em postar a solução.

[weslei]

Que comentário?

Já viu o que esta escrito na minha assinatura?

Quanto aos seus comentários melhor não dar trela, pois vc mesmo já se identificou...

Abraço