Limitar conexiones por usuario



  • Primero de todo un saludo a todos los usuarios del foro.

    Tengo una red de unos 40 usuarios gestioanada por WinRoute Firewall + pfSense.
    Winroute se encarga del portal cautivo (4 LAN) y limitar el numero de conexiones por usuario.
    pfSense se encarga del Balance (3 WAN)

    LAN1 –------
    LAN2 ---------> WinRoute ---> pfSense ---> Balance(WAN-WAN2-WAN3)
    LAN3 --------/

    Mi idea es sustituir el Winroute por pfSense.
    ¿Existe alguna manera de limitar el numero de conexiones por usuario en pfSense?



  • :) hola…

    te recomiendo:

    LAN1 --------
    LAN2 ---------> {suiche}---(lanx)Pfsense1 (wanx)---> (lany)pfSense ---> Balance(WAN-WAN2-WAN3)
    LAN3 --------/

    ¿¿por que asi??
    1. comentas que necesitas el captive portal en las lan1..2..3. y 4 en este caso el pfsense 1 puede facilmente administrar las ip,  asignandolas por dhcp por ejemlpo, y activar su captive portal para autorizar la navegacion a los usuarios conectados, asi como servir de dns

    2. como necesitas el balanceo de carga con las wan1..2 y 3 y el pfsense admite el balanceo con una sola lan (lany) funcionaria perfecto...

    espero comentario...



  • La configuración propuesta ya la había pensado.
    Pero ¿Cómo limito el número de conexiones en el primer pfSense (lanx)?

    El querer limitar las conexiones es por el tema de los p2p. No quiero dejar a los usuarios sin descargas, perso si limitar sus conexiones a 800 por usuario. De esta manera no saturan la Red.



  • hola…  :)

    entonces habilita el traffic-shaping en el pfsense 1, cuando comentas 800 te refieres a 800 mbps de descarga por usuario??  cuantos usuarios tienes?? cual es tu proyeccion de crecimiento de usuarios?? cuanta velocidad en total tienes sumando las wan+wan2+wan3 ??

    si deseas limitar los ingresos de usuarios por captive portal puedes tambien limitar la cantidad de conexiones simultaneas o fijar solo un solo ingreso por clave...



  • Las conexiones son los enlaces(conexiones) activos generados desde un PC:
    La visualización de una pag. web genera de 1 a 20 conexiones aprox.
    Los programas p2p generan de 400 a 600 conexiones.
    Se pueden visualizar las conexiones activas usando el comando (windows) netstat en el PC cliente.
    pfsense te muestra las conexiones totales en la pag. index - State table size

    Na necesidad de limitar a 800 conexiones por usario radica en el mal uso de los usuarios de los programas p2p. No tienen ni idea de como configurarlos y algunos, muchos, ponen que realicen 1000 o más conexiones.

    Otra ventaja de limitar las conexiones es para no saturar los AP, estos no sulen aguantar mas de 2000 conexiones en total.( 4000 en el caso del lynksys con dd-wrt,)

    El pfsense tiene algo parecido en las rules (advanced Options - Simultaneous client connection limit) pero no se como funciona. Tampoco se si se tendria que crear una regla para cada usario.



  • ;) hola…

    gracias por tus comentarios acerca de las cantidades de conexiones, no lo tenia claro...
    yo las entiendo es como puerto utilizados en la conexión, disculpa mi confusión....

    el pfsense tiene un limite máximo de conexiones o puertos abiertos y se puede configurar, ahora por usuario nunca me he planteado ese ajuste, voy a revisar unos papers acerca de limitación de puertos que creo es posible cuando defines las reglas, allí existe un botón de configuración avanzada en donde se pueden modificar las cantidades de puertos abiertos o conexiones simultaneas, pero seria por regla...

    luego te comento...

    **** revisando luego encontré ***

    efectivamente cada regla tiene una opción avanzada que permite limitar las conexiones o puertos abiertos por host, en este caso se tendría que habilitar reglas asociadas a grupos o segmentos de usuarios...



  • Encontre referencias para limitar las conexiones (puertos) de cada usuario con iptables en linux:

    Regla para limitar a 125 conexion por IP en un rango de direcciones:
    iptables -I FORWARD -p tcp –syn -m iprange --src-range 192.168.22.10-192.168.22.250 -m connlimit --connlimit-above 125 -j DROP

    Regla para limita a 200 conexiones a todas las IP de una red:
    iptables -I FORWARD -s 192.168.1.0/24 -p tcp -m connlimit --connlimit-above 200 -j REJECT --reject-with tcp-reset

    Claro que esto es para Linux con iptables. ¿Existe algún comando parecido para el firewall de pfSense?

    Saludos.



  • ¡Hola!

    Creo que ya te han contestado …

    cada regla tiene una opción avanzada que permite limitar las conexiones

    Pedías limitar por usuario y el ejemplo de IPTABLES limita por IP, no por usuario … Si no lo entiendo mal (no conozco bien IPTABLES).

    Saludos,

    Josep Pujadas



  • Saludos bellera

    Efectivamente cada regla tiene una opción avanzada que permite limitar las conexiones o puertos abiertos por host, en este caso se tendría que habilitar reglas asociadas a grupos o segmentos de usuarios…

    Lo que quiero es que todo el tráfico por host(IP) de LAN que salga por WAN este limitado a 800 conexiones(puertos) máximo.

    Tendría que crear una regla con:
    1- Simultaneous client connection limit: ???
    2- Maximun state stries per host: 800
    3- Maximun new connections/per second: ???
    4- State Timeout in seconds: ???

    Lo que no se es que poner en los campos 1,3,4

    Pedías limitar por usuario y el ejemplo de IPTABLES limita por IP, no por usuario

    Pero entiendo que cada usuario tiene asignada una IP, para mi es lo mismo. IP=USUARIO
    Si estoy equivocado corrígeme.


Locked