防火墙针对软件限制猜想,例如P2P之类的
添加限制软件服务器或特征IP地址列表/ip fir add add list=softdrop address=0.0.0.0
针对目标地址列表限制连接数
/ip fir fil add chain=forward dst-address-list=softdrop connection-limit=2,32 action=drop
针对端口特征限制连接数
/ip fir fil add chain=forward protocol=tcp dst-port=* connection-limit=2,32 action=drop
网络何其大,换个想法可能更好
将网络内频繁使用的ip加入ahip表,然后将不为ahip表的地址连接限制为10个
/ip fir fil add chain=forward dst-address-list=!ahip connection-limit=10,32 action=drop
端口太多,没有列表,使用排除法,将网内非常用的端口连接限制为10个
/ip fir fil add chain=forward protocol=tcp/udp dst-port=!9999 connection-limit=10,32 action=drop
最头疼的就是规则一多看注释都难受,为什么有了ip列表不给加个端口列表或自定义数据集合这样子的功能类 以上猜想试了下不好使,还有不符合逻辑的地方
现在换为在fir/man下将访问垃圾软件特征地址列表的源地址加入到地址列表lj中
并对lj地址列表做连接标记为con-lj
并将连接标记为lj的标记为pak-lj
再至简单队列中将标记为pak-lj的垃圾限速
然后添加各个wan口的流量监控,在适当时启用lj限速
页:
[1]