请问"限制每个主机TCP连接数为80条"如何排除网页服务器

永远一个人

限制总http连接数为50，如下：
     chain=input protocol=tcp dst-port=80 connection-limit=50,0 action=drop


限制每个主机TCP连接数为80条，如下：
     chain=forward protocol=tcp connection-limit=80,32 action=drop

这样限制了所有的IP的连接数，把网页服务器等发禁了，明显WEB服务活不成了。
请教如何排除如内网IP为192.168.1.251的WEB服务器的TCP限制？


还有几点想不通的也请教下。
既然防火墙已经限了tcp连接数为80，那再限http连接数好象没多大意义吧？HTTP走的就是TCP协议呀不是吗？

还有网大的那个防火墙，好象精华区的也有，里面有防病毒的，这个。。。好象是多此一举吧？ros本身目前不会中什么毒或马，再加上一般都是NAT转发，外网主动是连不进内网任何机器的吧？当然，NAT映射或反弹式木马例外，可是映射自然不需要ROS来限了，中了反弹木马的话还想靠ROS来限制，有用吗？

永远一个人

里面有个src.address.list和dst.address.list，好象可以从这下手。。。有人试过吗。

seignior

首先，未被修改的xp默认就是50个链接，所以即使修改ros控制也没意义，其次，web访问，根本用不了多少链接数.........

永远一个人

不一定的。
XP默认的可以改的。
连接数主要是防攻击吧？要是有几万个连接。。。
WEB服务器，如果访问量大的话呢？
至少我现在随便在外网访问都是很多时候访问不了的。但一把防火墙的限制停掉，就正常。

永远一个人

或者我在input链表的第一个设：源IP为WEB服务器的IP，action为accept，这样是不是就能让WEB服务器逃脱魔爪？

[ 本帖最后由 永远一个人 于 2007-7-12 00:27 编辑 ]

seignior

..................................xp限制的连接数的确可以改，但除非是客人自己改(用于p2p下载)，否则自己改，只是在害自己。
.....访问量再大，web又能有多少链接呢？(除非是某些极度特殊的特殊应用，但相信你也不会是那些，况且那些的话，直接就放宽限制了)
你无法访问web但关掉限制带宽就ok的问题，请搜索论坛tracking

P.S:请善用搜索

永远一个人

XP的限制，客人可以自己改，更重要的是别有居心的人在改，要防的就是他。
访问量，默认限制是80，如果有81个人在访问我的主页，那TCP连接数起码是81个以上吧？那第81个能访问吗？
这不是限制带宽，这仅仅是限制连接数。。。。

不过好象已经搞定了。
先在address list，就是地址表加了一个叫pt的表，范围是192.168.1.1-192.168.1.230的表(服务器IP是192.168.1.251)，然后在tcp及http连接数限制那把Src. Address List设成pt，经测试，暂时正常。。。。
测试方法是先把连接数限制为2，在外网访问网站，同时开三个ie访问，则第三个窗口无法访问，但是经上面步骤后，开多少个窗口都能正常访问。。。。

[ 本帖最后由 永远一个人 于 2007-7-12 00:49 编辑 ]

seignior

超郁闷的话题

正是防备别有用心的人改xp的默认连接限制，所以才要在ros改，否则何必在xp已经限制的情况下还要在ros上限制？

你的网页？是你的网页还是别人的网页？如果是你的网页，你的网页在公网还是在私网(在ros内还是在ros外)？这个限制，本来就是限制内网用户对外网的连接数，和你的网页有什么关系(我这里假设你的网页在内网，内网访问内网根本就没过ros)？
当然知道是限制连接数

“测试方法是先把连接数限制为2，在外网访问网站，同时开三个ie访问，则第三个窗口无法访问，但是经上面步骤后，开多少个窗口都能正常访问。。。。”
你这个测试本来就是错的.........但牵涉的话题太长了，明天有空再续，俺在play game

lsq726

XP的限制，客人可以自己改，更重要的是别有居心的人在改，要防的就是他。
访问量，默认限制是80，如果有81个人在访问我的主页，那TCP连接数起码是81个以上吧？那第81个能访问吗？
这不是限制带宽，这仅仅是限制连接数。。。。

不过好象已经搞定了。
先在address list，就是地址表加了一个叫pt的表，范围是192.168.1.1-192.168.1.230的表(服务器IP是192.168.1.251)，然后在tcp及http连接数限制那把Src. Address List设成pt，经测试，暂时正常。。。。
测试方法是先把连接数限制为2，在外网访问网站，同时开三个ie访问，则第三个窗口无法访问，但是经上面步骤后，开多少个窗口都能正常访问。。。。

精彩。。

永远一个人

可能是我表达不清楚。
这个限制，是从INPUT限制的，你仔细看上面脚本就清楚了。不是限制了内网对外网的连接数，应该说是限制了内外网对路由本身的连接数。
为何对我的WEB服务器没有关系呢？WEB服务不光提供给内网，同时也发外网，什么可能和外网无关？

至于测试方法错误的，还请指教，我也觉得不对头，不过现在还是正常。

seignior

嗯，需要道歉，昨天的确没有仔细看你的策略，不过这并不太影响最后的结果。

chain=input protocol=tcp dst-port=80 connection-limit=50,0 action=drop
我当时的确没有注意这个策略，不过此策略在你的问题里不构成任何影响，此策略定义的是对ros本身的web(port 80)tcp访问限制为50，对于你内网访问外网(forward)不构成任何影响。
你应该把input理解为，其他对象访问ros本身，例如你用winbox管理ros，或者通过ros web管理ros，或者ping ros ip，反正访问的对象就是ros，除此之外，其他流过ros的报文并不在input的管理范围内.....至于forward，我也不知道如何准确定义，反正大约就是指流过ros的连接...........

在你的回帖里，依然没有明确说明“你的网页”是在内网还是外网，但在7、10楼的描述里猜测应该是内网，那么，你内网访问你的web服务器，则完全不受ros管理，你的帖提到外网也会访问你的web服务器，那么在你没有明确说明前，我猜测是最常见的端口映射,就是说csr是外网ip，对于此种情况，的确外网访问的确受你限制每ip连接数的限制，但在官方的限制连接数限制里，默认是说明，应该在src-address添加内网指定限制(即外网不受限制)，或者你也可以限制端口(网卡)
例1
chain=forward src-address=192.168.3.0/24 protocol=tcp
     connection-limit=50,32 action=drop
例2
chain=forward in-interface=lan protocol=tcp connection-limit=50,32
     action=drop
例3
chain=forward src-address=192.168.3.0/24 in-interface=lan protocol=tcp connection-limit=50,32
     action=drop

-------------------------------------------
至于你的测试，因为你没有明确说明你是在外网测试还是在内网测试(其他猜测和上面一样)，这里假设你为在外网测试(因为这样才受策略影响)，那么实际上，除非你的网页只是单纯的一个纯文本html没有任何图片且全文很短，否则你访问每个html页，每页面占用一个连接，每图片占用一个连接，每flash占用一个连接...如此等等....且http连接相对其他服务来说比较特殊，属于xx连接(愕...忘记术语了+_+")，反正连接完成即挂断，所以在正常情况下，会并发不少连接(其实也就十多个左右而已)，但在很短时间内(大多数情况下是5ms左右)，就会快速脱开(说老实，这些话题才是我的本业，ros的话题只算是副业)，所以你的测试在这种情况下其实无效的，但为什么你打开多个ie后会访问不能呢？其实这个和ros tracking的tcp timeout设置有关，至于这个话题，我就不重复说了，请自己搜索论坛tracking关键词。


--------------------------------
P.S:针对你web可能是251，我给一个示范策略给你
chain=forward src-address=!192.168.1.251/32 in-interface=lan protocol=tcp connection-limit=50,32
     action=drop

永远一个人

呃，谢谢seignior 的回复，情况基本如你所说。
WEB服务器是NAT映射的，内网不用说了，所有情况都是指WEB服务器和外网的通讯，所有的测试也是基于外网的。
我现在的目的是只想让WEB服务器不受到连接数的限制，于是我改成
chain=forward src-address=pt in-interface=lan protocol=tcp connection-limit=50,32
     action=drop
其中pt是个address list，结果测试当场是正常的，但是。。。。不知道什么回事，今天出现两次ROS的CPU占用竟然是100%，都是因为这个策略引起，只要一禁用此策略即使再次马上启动，CPU占用就会正常，可以说CPU占用会不定的出现100%而且不会自动降下来，除非人为禁一下此策略。奇怪。。。。不知什么原因。
你的策略我现在就开始试看，多谢，希望正常。
如果再不行，就只有不用这个策略了，我想从queue那里下手也一样可以达到这个防火墙规则效果吧。