请教一个并发数的语句
。ip firewall filter中能写出这样的语句吗?
如果我的一个端口 有很多人连接,如图,就把 input 这个端口 drop
。
谢谢您看了我的贴
本帖最后由 cspm333 于 2018-8-11 19:27 编辑
您firewall filter沒設置妥當,
用script限制port以黑名單的處理是很沒效率的,永遠有補不完的窗口
connection-state=new的封包,
建議除非是必要的其他的都該禁止(以白名單的方式防護),這才是安全的作法.
瞎说几句
说实话2楼的才是传统正解,但我觉得应该先考虑应用环境,看楼主图猜测应该是开了upnp的p2p应用,那么我猜这应该是一个私人个人用途的例如家庭环境,我既然装了个p2p软件,那我当然就希望它能跑得快点,所以我开放了upnp,然后你让我drop掉它的工作端口? 本帖最后由 cspm333 于 2018-8-11 22:46 编辑
seignior 發表於 2018-8-11 20:59
瞎說幾句
說實話2樓的才是傳統正解,但我覺得應該先考慮應用環境,看樓主圖猜測應該是開了upnp的p2p應用, ...
firewall filter的chain=input 與chain=forward負責的路徑不同,
伺服器的路由判斷是在forward(路徑B)的位置上,
對input(路徑A,即路由器)做封鎖 ,對路徑B的 forwarding(nat映射)是不具備任何影響力的.
答复cspm333,
rb系列路由器我买了很多,ros默认是 icmp允许 其它的wan口input都drop
。
。
我希望公司的下载速度快些,都会把这一句去掉,
所以 我现在寻找 "ros的开放端口", 做保护。
本帖的目的,防止别人对我的一个端口 连接太多
。 回复4楼
你说的的确是正确的,问题在于,楼主的问题(楼主认为单一端口连接数过多)的根源是内网有p2p软体upnp开了映射端口所以连接数多,正是因为你说的是对的“firewall filter的chain=input 與chain=forward負責的路徑不同”,所以并没有解决楼主的问题。
楼主的愿望是既要保留这些p2p应用(导致upnp主动打开nat端口),然后还要限制外部的连接数(而且还是udp),说实话我是投降了 seignior 發表於 2018-8-12 01:55
回覆4樓
你說的的確是正確的,問題在於,樓主的問題(樓主認為單一端口連接數過多)的根源是內網有p2p軟體upn ...
編寫script ,upnp接口連線數超過60,就將upnp port移除即可.
不過需script不斷的計數,耗的資源可能會很多....
:foreach i in= \
do={
:local wan
:local port
:if ([:len ]>=60) \
do={/ip firewall nat remove $i}
}
页:
[1]