找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 8848|回复: 11

[其它] 请问"限制每个主机TCP连接数为80条"如何排除网页服务器

[复制链接]
发表于 2007-7-12 00:03:13 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
限制总http连接数为50,如下:
     chain=input protocol=tcp dst-port=80 connection-limit=50,0 action=drop


限制每个主机TCP连接数为80条,如下:
     chain=forward protocol=tcp connection-limit=80,32 action=drop

这样限制了所有的IP的连接数,把网页服务器等发禁了,明显WEB服务活不成了。
请教如何排除如内网IP为192.168.1.251的WEB服务器的TCP限制?


还有几点想不通的也请教下。
既然防火墙已经限了tcp连接数为80,那再限http连接数好象没多大意义吧?HTTP走的就是TCP协议呀不是吗?

还有网大的那个防火墙,好象精华区的也有,里面有防病毒的,这个。。。好象是多此一举吧?ros本身目前不会中什么毒或马,再加上一般都是NAT转发,外网主动是连不进内网任何机器的吧?当然,NAT映射或反弹式木马例外,可是映射自然不需要ROS来限了,中了反弹木马的话还想靠ROS来限制,有用吗?
routeros
 楼主| 发表于 2007-7-12 00:08:43 | 显示全部楼层
里面有个src.address.list和dst.address.list,好象可以从这下手。。。有人试过吗。
routeros
回复

使用道具 举报

发表于 2007-7-12 00:12:04 | 显示全部楼层
首先,未被修改的xp默认就是50个链接,所以即使修改ros控制也没意义,其次,web访问,根本用不了多少链接数.........
routeros
回复

使用道具 举报

 楼主| 发表于 2007-7-12 00:14:57 | 显示全部楼层
不一定的。
XP默认的可以改的。
连接数主要是防攻击吧?要是有几万个连接。。。
WEB服务器,如果访问量大的话呢?
至少我现在随便在外网访问都是很多时候访问不了的。但一把防火墙的限制停掉,就正常。
routeros
回复

使用道具 举报

 楼主| 发表于 2007-7-12 00:20:44 | 显示全部楼层
或者我在input链表的第一个设:源IP为WEB服务器的IP,action为accept,这样是不是就能让WEB服务器逃脱魔爪?

[ 本帖最后由 永远一个人 于 2007-7-12 00:27 编辑 ]
routeros
回复

使用道具 举报

发表于 2007-7-12 00:35:58 | 显示全部楼层
..................................xp限制的连接数的确可以改,但除非是客人自己改(用于p2p下载),否则自己改,只是在害自己。
.....访问量再大,web又能有多少链接呢?(除非是某些极度特殊的特殊应用,但相信你也不会是那些,况且那些的话,直接就放宽限制了)
你无法访问web但关掉限制带宽就ok的问题,请搜索论坛tracking

P.S:请善用搜索
routeros
回复

使用道具 举报

 楼主| 发表于 2007-7-12 00:47:53 | 显示全部楼层
XP的限制,客人可以自己改,更重要的是别有居心的人在改,要防的就是他。
访问量,默认限制是80,如果有81个人在访问我的主页,那TCP连接数起码是81个以上吧?那第81个能访问吗?
这不是限制带宽,这仅仅是限制连接数。。。。

不过好象已经搞定了。
先在address list,就是地址表加了一个叫pt的表,范围是192.168.1.1-192.168.1.230的表(服务器IP是192.168.1.251),然后在tcp及http连接数限制那把Src. Address List设成pt,经测试,暂时正常。。。。
测试方法是先把连接数限制为2,在外网访问网站,同时开三个ie访问,则第三个窗口无法访问,但是经上面步骤后,开多少个窗口都能正常访问。。。。

[ 本帖最后由 永远一个人 于 2007-7-12 00:49 编辑 ]
routeros
回复

使用道具 举报

发表于 2007-7-12 01:13:32 | 显示全部楼层
超郁闷的话题

正是防备别有用心的人改xp的默认连接限制,所以才要在ros改,否则何必在xp已经限制的情况下还要在ros上限制?

你的网页?是你的网页还是别人的网页?如果是你的网页,你的网页在公网还是在私网(在ros内还是在ros外)?这个限制,本来就是限制内网用户对外网的连接数,和你的网页有什么关系(我这里假设你的网页在内网,内网访问内网根本就没过ros)?
当然知道是限制连接数

“测试方法是先把连接数限制为2,在外网访问网站,同时开三个ie访问,则第三个窗口无法访问,但是经上面步骤后,开多少个窗口都能正常访问。。。。”
你这个测试本来就是错的.........但牵涉的话题太长了,明天有空再续,俺在play game
routeros
回复

使用道具 举报

发表于 2007-7-12 01:38:37 | 显示全部楼层
XP的限制,客人可以自己改,更重要的是别有居心的人在改,要防的就是他。
访问量,默认限制是80,如果有81个人在访问我的主页,那TCP连接数起码是81个以上吧?那第81个能访问吗?
这不是限制带宽,这仅仅是限制连接数。。。。

不过好象已经搞定了。
先在address list,就是地址表加了一个叫pt的表,范围是192.168.1.1-192.168.1.230的表(服务器IP是192.168.1.251),然后在tcp及http连接数限制那把Src. Address List设成pt,经测试,暂时正常。。。。
测试方法是先把连接数限制为2,在外网访问网站,同时开三个ie访问,则第三个窗口无法访问,但是经上面步骤后,开多少个窗口都能正常访问。。。。


精彩。。
routeros
回复

使用道具 举报

 楼主| 发表于 2007-7-12 07:19:34 | 显示全部楼层
可能是我表达不清楚。
这个限制,是从INPUT限制的,你仔细看上面脚本就清楚了。不是限制了内网对外网的连接数,应该说是限制了内外网对路由本身的连接数。
为何对我的WEB服务器没有关系呢?WEB服务不光提供给内网,同时也发外网,什么可能和外网无关?

至于测试方法错误的,还请指教,我也觉得不对头,不过现在还是正常。
routeros
回复

使用道具 举报

发表于 2007-7-12 17:07:17 | 显示全部楼层
嗯,需要道歉,昨天的确没有仔细看你的策略,不过这并不太影响最后的结果。

chain=input protocol=tcp dst-port=80 connection-limit=50,0 action=drop
我当时的确没有注意这个策略,不过此策略在你的问题里不构成任何影响,此策略定义的是对ros本身的web(port 80)tcp访问限制为50,对于你内网访问外网(forward)不构成任何影响。
你应该把input理解为,其他对象访问ros本身,例如你用winbox管理ros,或者通过ros web管理ros,或者ping ros ip,反正访问的对象就是ros,除此之外,其他流过ros的报文并不在input的管理范围内.....至于forward,我也不知道如何准确定义,反正大约就是指流过ros的连接...........

在你的回帖里,依然没有明确说明“你的网页”是在内网还是外网,但在7、10楼的描述里猜测应该是内网,那么,你内网访问你的web服务器,则完全不受ros管理,你的帖提到外网也会访问你的web服务器,那么在你没有明确说明前,我猜测是最常见的端口映射,就是说csr是外网ip,对于此种情况,的确外网访问的确受你限制每ip连接数的限制,但在官方的限制连接数限制里,默认是说明,应该在src-address添加内网指定限制(即外网不受限制),或者你也可以限制端口(网卡)
例1
chain=forward src-address=192.168.3.0/24 protocol=tcp
     connection-limit=50,32 action=drop
例2
chain=forward in-interface=lan protocol=tcp connection-limit=50,32
     action=drop
例3
chain=forward src-address=192.168.3.0/24 in-interface=lan protocol=tcp connection-limit=50,32
     action=drop

-------------------------------------------
至于你的测试,因为你没有明确说明你是在外网测试还是在内网测试(其他猜测和上面一样),这里假设你为在外网测试(因为这样才受策略影响),那么实际上,除非你的网页只是单纯的一个纯文本html没有任何图片且全文很短,否则你访问每个html页,每页面占用一个连接,每图片占用一个连接,每flash占用一个连接...如此等等....且http连接相对其他服务来说比较特殊,属于xx连接(愕...忘记术语了+_+"),反正连接完成即挂断,所以在正常情况下,会并发不少连接(其实也就十多个左右而已),但在很短时间内(大多数情况下是5ms左右),就会快速脱开(说老实,这些话题才是我的本业,ros的话题只算是副业),所以你的测试在这种情况下其实无效的,但为什么你打开多个ie后会访问不能呢?其实这个和ros tracking的tcp timeout设置有关,至于这个话题,我就不重复说了,请自己搜索论坛tracking关键词。


--------------------------------
P.S:针对你web可能是251,我给一个示范策略给你
chain=forward src-address=!192.168.1.251/32 in-interface=lan protocol=tcp connection-limit=50,32
     action=drop
routeros
回复

使用道具 举报

 楼主| 发表于 2007-7-13 07:34:48 | 显示全部楼层
呃,谢谢seignior 的回复,情况基本如你所说。
WEB服务器是NAT映射的,内网不用说了,所有情况都是指WEB服务器和外网的通讯,所有的测试也是基于外网的。
我现在的目的是只想让WEB服务器不受到连接数的限制,于是我改成
chain=forward src-address=pt in-interface=lan protocol=tcp connection-limit=50,32
     action=drop
其中pt是个address list,结果测试当场是正常的,但是。。。。不知道什么回事,今天出现两次ROS的CPU占用竟然是100%,都是因为这个策略引起,只要一禁用此策略即使再次马上启动,CPU占用就会正常,可以说CPU占用会不定的出现100%而且不会自动降下来,除非人为禁一下此策略。奇怪。。。。不知什么原因。
你的策略我现在就开始试看,多谢,希望正常。
如果再不行,就只有不用这个策略了,我想从queue那里下手也一样可以达到这个防火墙规则效果吧。
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-12-27 00:39 , Processed in 0.102038 second(s), 14 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表