找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 11766|回复: 6

[基础] 请教一个并发数的语句

[复制链接]
发表于 2018-8-11 11:50:08 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
ros180811c.jpg
。ip firewall filter中能写出这样的语句吗?
如果我的一个端口 有很多人连接,如图,就把 input 这个端口 drop

谢谢您看了我的贴



routeros
发表于 2018-8-11 19:23:47 | 显示全部楼层
本帖最后由 cspm333 于 2018-8-11 19:27 编辑

您firewall filter沒設置妥當,
用script限制port以黑名單的處理是很沒效率的,永遠有補不完的窗口

connection-state=new的封包,
建議除非是必要的其他的都該禁止(以白名單的方式防護),這才是安全的作法.
Snap5.png
routeros
回复

使用道具 举报

发表于 2018-8-11 20:59:57 | 显示全部楼层
瞎说几句

说实话2楼的才是传统正解,但我觉得应该先考虑应用环境,看楼主图猜测应该是开了upnp的p2p应用,那么我猜这应该是一个私人个人用途的例如家庭环境,我既然装了个p2p软件,那我当然就希望它能跑得快点,所以我开放了upnp,然后你让我drop掉它的工作端口?
routeros
回复

使用道具 举报

发表于 2018-8-11 22:32:00 | 显示全部楼层
本帖最后由 cspm333 于 2018-8-11 22:46 编辑
seignior 發表於 2018-8-11 20:59
瞎說幾句

說實話2樓的才是傳統正解,但我覺得應該先考慮應用環境,看樓主圖猜測應該是開了upnp的p2p應用, ...

firewall filter的chain=input 與chain=forward負責的路徑不同,

伺服器的路由判斷是在forward(路徑B)的位置上,
對input(路徑A,即路由器)做封鎖 ,對路徑B的 forwarding(nat映射)是不具備任何影響力的.

iptables_04.gif

routeros
回复

使用道具 举报

 楼主| 发表于 2018-8-11 23:58:22 | 显示全部楼层
答复  cspm333,
rb系列路由器我买了很多,ros默认是 icmp允许 其它的wan口input都drop


我希望公司的下载速度快些,都会把这一句去掉,
所以 我现在寻找 "ros的开放端口", 做保护。
本帖的目的,防止别人对我的一个端口 连接太多
routeros
回复

使用道具 举报

发表于 2018-8-12 01:55:54 | 显示全部楼层
回复4楼
你说的的确是正确的,问题在于,楼主的问题(楼主认为单一端口连接数过多)的根源是内网有p2p软体upnp开了映射端口所以连接数多,正是因为你说的是对的“firewall filter的chain=input 與chain=forward負責的路徑不同”,所以并没有解决楼主的问题。
楼主的愿望是既要保留这些p2p应用(导致upnp主动打开nat端口),然后还要限制外部的连接数(而且还是udp),说实话我是投降了
routeros
回复

使用道具 举报

发表于 2018-8-12 10:25:37 | 显示全部楼层
seignior 發表於 2018-8-12 01:55
回覆4樓
你說的的確是正確的,問題在於,樓主的問題(樓主認為單一端口連接數過多)的根源是內網有p2p軟體upn ...

編寫script ,upnp接口連線數超過60,就將upnp port移除即可.
不過需script不斷的計數,耗的資源可能會很多....

:foreach i in=[/ip firewall nat find dynamic] \
  do={
         :local wan [/ip firewall nat get $i dst-address]
         :local port [/ip firewall nat get $i dst-port]
         :if ([:len [/ip firewall connection find dst-address="$wan:$port"]]>=60) \
            do={/ip firewall nat remove $i}
        }



routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-22 07:20 , Processed in 0.058625 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表