Привет! Возможна ли лимитизация количества TCP-соединений (или пакетов SYN) по каждому (исходному) IP-адресу без создания правил для каждого адреса? Мне кажется, если установить глобальный лимит (по блокам), то один хост (с вирусом или чем-то подобным, который отправляет много SYN-пакетов) сможет отправлять большинство своих пакетов (в пределах лимита, конечно), а остальные ПК не смогут (пытаясь зайти в интернет или что-то безвредное).
Ограничь количество подключений на основе IP-адреса.
Ограничь количество подключений на основе IP-адреса., RouterOS
|
22.10.2005 18:19:00
|
|
|
|
|
|
23.10.2005 12:09:00
Да, /ip firewall filter add action=drop connection-limit=5,32 protocol=tcp tcp-flags=syn, chain=forward. Это правило ограничивает до 6 соединений на каждого пользователя.
|
|
|
|
|
|
27.10.2005 12:16:00
Из любопытства, для какого правила это, кстати? И что такое 5,32? Спасибо.
|
|
|
|
|
|
27.10.2005 12:40:00
Я пробовал это правило на 2.8, и оно его не принимает. Ты знаешь способ установить ограничение подключений по IP клиенту на 2.8?
|
|
|
|
|
|
27.10.2005 12:42:00
/ip firewall rule forward add protocol=tcp tcp-options=syn-only connection-limit=5 action=drop
|
|
|
|
|
|
27.10.2005 12:47:00
Ну и правда, ты уверен, что это правило ограничит только до 2.8 на адрес клиента? Я вообще не понимаю, работает ли это по каждому клиенту или одно правило для всех?
|
|
|
|
|
|
27.10.2005 12:59:00
Лимит правил — 4 соединения на пользователя. Обратите внимание, что p2p-трафик может создавать гораздо больше соединений.
|
|
|
|
|
|
27.10.2005 14:54:00
Спасибо, дружище.
|
|
|
|
|
|
28.10.2005 09:51:00
Добавь простой очередь с целевым адресом и запрошенным лимитом.
|
|
|
|
|
Читают тему
