Sta si konkretno probao?

ip firewall chain=forward in-interface=lan protocol=tcp connection-limit=50,32 action=drop, ovo je ono sa tvog sajta


probao sam i ovo ip fire filt add chain=forward prot=tcp tcp-flag=syn connection-limit=50,32 acti=drop



nece ni jedno ni drugo, ne limitira, ne znam sto nece a trebalo bi

Da nisu te konekcije koje prolaze UDP?

Ima konekcija UDP ali ih nema mnogo(15-ak), zato ovih TCP ima dosta vise, nikako nece da ih limitira.

SA jedne adrese na primer 15-ak udp i 300 tcp a tcp su kao ogranicene na dosta manji broj.

Vjerovatno znas da je to broj limitiranih konekcija po svakom useru na mrezi a ne ukupan broj koji se moze ostvariti za sve usere, pokusaj staviti manji broj konekcija pa vidi da li radi. Pravilo je ispravno napisano privjereno na 2.9.27 kao i na 2.9.45 i 46 verzijama MT-a.

Pre tog rpavila zaogranicenje, stavi kopiju tog pravila samo za action stavi log pa ces u logu videti koje konekcije hvata i odradjuje.

stavio sam pravilo ali log ne prima nista, kao da pravilo uopstene vazi. Ili ja ne znam gde da pogledam ali verujem da gledam na pravo mesto znaci /log print..

Stavio sam novo pravilo pre ovog sa prefix-om "konekcija".

Ogranicenje konekcije i dalje ne radi. Imam MT 2.9.27

Probaj pravilo bez connectionlimit da utvrdis da li ono uopste hvata neki saobracaj.

probao sam i bez limitiranja, ovo ne hvata nista.Znaci ovo pravilo ne obuhvata nista

????????????

Čudno. Probaj ovako pa javi kako je prošlo.

Prvo markiraj TCP konekcije koje dolaze iz PPPoE pool-a:



gde je X.X.X.X/X opseg iz koga PPPoE useri dobijaju adrese.

Onda limitiraj broj konekcija

Tu ti je kljuc. Ispred tog pravila imas neko drugo koje presrece kneckije i one nikada ne prodju dalje. Ili topravilo nije dobro podeseno za tvoj slucaj pa ne obuhvata konekcije. U svakom slucaju, problem nema veze sa samim limitiranjem.

U ovom chainu FORWARD nema nijedno pravilo koje bi moglo da ucini da preskoci ovo pravilo....

Ne znam, videcu da markiram konekcije pa da onda uradim limitiranje da vidim hoce li kao sto Cynic rece a i preci cu jos jednom FIREWALL da vidim da li ima nesto sto moze da ucini da preskoci ovo pravilo.

Samo da kazem probao sam da u FORWARD chainu dropujem sve odlazne http konekcije tj. ka portu 80 i to radi. Ne znam zasto ne bi radilo i ovo.

Probacu pa javljam sta se desava

Evo sa markiranjem paketa pa tek posle sa limitiranjem radi kako treba.


Ne znam sto nece ovako kao sto sam pre probao..

Zanima me jos samo posto sada se pojavilo dosta konekcija "close" sa timeout-om 24 casa, moze li nekako da se one odbace.

Timeout-e konekcija podešavaš u:



Ako je u pitanju PC ruter opterećen sa preko 20000 istovremenih konekcija onda ima logike ovo da podešavaš. U suprotnom ne vidim zbog čega bi ti smetalo. :))

Pozdrav

pa zato sto bi ja da ogranicim na 80 TCP konekcija a u ovim markiranim mi se pojavljuje od tih 80 oko 20 u stanju closed, pa bi da se njih otarasim da ostavim prostora za ove established , new i syn.

Ne znam da li limitiranje tcp konekcija obuhvata i ove u stanju closed, tj. ako ih obuhvata onda je tih 20 konekcija prostora baceno.

Mozda sam postavio glupo pitanje tj. mozda nisam. ne znam kako racuna ovaj MT razlicite vrste konekcija, bile one u stanju closed, established ili nekom drugom... :|))