Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Limitar conexiones por usuario

    Español
    3
    9
    11022
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hitbit last edited by

      Primero de todo un saludo a todos los usuarios del foro.

      Tengo una red de unos 40 usuarios gestioanada por WinRoute Firewall + pfSense.
      Winroute se encarga del portal cautivo (4 LAN) y limitar el numero de conexiones por usuario.
      pfSense se encarga del Balance (3 WAN)

      LAN1 –------
      LAN2 ---------> WinRoute ---> pfSense ---> Balance(WAN-WAN2-WAN3)
      LAN3 --------/

      Mi idea es sustituir el Winroute por pfSense.
      ¿Existe alguna manera de limitar el numero de conexiones por usuario en pfSense?

      1 Reply Last reply Reply Quote 0
      • S
        sanchezluys last edited by

        :) hola…

        te recomiendo:

        LAN1 --------
        LAN2 ---------> {suiche}---(lanx)Pfsense1 (wanx)---> (lany)pfSense ---> Balance(WAN-WAN2-WAN3)
        LAN3 --------/

        ¿¿por que asi??
        1. comentas que necesitas el captive portal en las lan1..2..3. y 4 en este caso el pfsense 1 puede facilmente administrar las ip,  asignandolas por dhcp por ejemlpo, y activar su captive portal para autorizar la navegacion a los usuarios conectados, asi como servir de dns

        2. como necesitas el balanceo de carga con las wan1..2 y 3 y el pfsense admite el balanceo con una sola lan (lany) funcionaria perfecto...

        espero comentario...

        ** Soporte Via Correo en Venezuela **
        - diseño y puesta en marcha del portal cautivo, eliminacion de p2p, control de acceso de usuarios, instalacion y configuracion basica del pfsense, OpenVpn - Equipos con S.O. PC-BSD, OpenBSD, Linux, Win y OpenSolaris sobre x86
        www.adrianamoda.com.ve

        1 Reply Last reply Reply Quote 0
        • H
          hitbit last edited by

          La configuración propuesta ya la había pensado.
          Pero ¿Cómo limito el número de conexiones en el primer pfSense (lanx)?

          El querer limitar las conexiones es por el tema de los p2p. No quiero dejar a los usuarios sin descargas, perso si limitar sus conexiones a 800 por usuario. De esta manera no saturan la Red.

          1 Reply Last reply Reply Quote 0
          • S
            sanchezluys last edited by

            hola…  :)

            entonces habilita el traffic-shaping en el pfsense 1, cuando comentas 800 te refieres a 800 mbps de descarga por usuario??  cuantos usuarios tienes?? cual es tu proyeccion de crecimiento de usuarios?? cuanta velocidad en total tienes sumando las wan+wan2+wan3 ??

            si deseas limitar los ingresos de usuarios por captive portal puedes tambien limitar la cantidad de conexiones simultaneas o fijar solo un solo ingreso por clave...

            ** Soporte Via Correo en Venezuela **
            - diseño y puesta en marcha del portal cautivo, eliminacion de p2p, control de acceso de usuarios, instalacion y configuracion basica del pfsense, OpenVpn - Equipos con S.O. PC-BSD, OpenBSD, Linux, Win y OpenSolaris sobre x86
            www.adrianamoda.com.ve

            1 Reply Last reply Reply Quote 0
            • H
              hitbit last edited by

              Las conexiones son los enlaces(conexiones) activos generados desde un PC:
              La visualización de una pag. web genera de 1 a 20 conexiones aprox.
              Los programas p2p generan de 400 a 600 conexiones.
              Se pueden visualizar las conexiones activas usando el comando (windows) netstat en el PC cliente.
              pfsense te muestra las conexiones totales en la pag. index - State table size

              Na necesidad de limitar a 800 conexiones por usario radica en el mal uso de los usuarios de los programas p2p. No tienen ni idea de como configurarlos y algunos, muchos, ponen que realicen 1000 o más conexiones.

              Otra ventaja de limitar las conexiones es para no saturar los AP, estos no sulen aguantar mas de 2000 conexiones en total.( 4000 en el caso del lynksys con dd-wrt,)

              El pfsense tiene algo parecido en las rules (advanced Options - Simultaneous client connection limit) pero no se como funciona. Tampoco se si se tendria que crear una regla para cada usario.

              1 Reply Last reply Reply Quote 0
              • S
                sanchezluys last edited by

                ;) hola…

                gracias por tus comentarios acerca de las cantidades de conexiones, no lo tenia claro...
                yo las entiendo es como puerto utilizados en la conexión, disculpa mi confusión....

                el pfsense tiene un limite máximo de conexiones o puertos abiertos y se puede configurar, ahora por usuario nunca me he planteado ese ajuste, voy a revisar unos papers acerca de limitación de puertos que creo es posible cuando defines las reglas, allí existe un botón de configuración avanzada en donde se pueden modificar las cantidades de puertos abiertos o conexiones simultaneas, pero seria por regla...

                luego te comento...

                **** revisando luego encontré ***

                efectivamente cada regla tiene una opción avanzada que permite limitar las conexiones o puertos abiertos por host, en este caso se tendría que habilitar reglas asociadas a grupos o segmentos de usuarios...

                ** Soporte Via Correo en Venezuela **
                - diseño y puesta en marcha del portal cautivo, eliminacion de p2p, control de acceso de usuarios, instalacion y configuracion basica del pfsense, OpenVpn - Equipos con S.O. PC-BSD, OpenBSD, Linux, Win y OpenSolaris sobre x86
                www.adrianamoda.com.ve

                1 Reply Last reply Reply Quote 0
                • H
                  hitbit last edited by

                  Encontre referencias para limitar las conexiones (puertos) de cada usuario con iptables en linux:

                  Regla para limitar a 125 conexion por IP en un rango de direcciones:
                  iptables -I FORWARD -p tcp –syn -m iprange --src-range 192.168.22.10-192.168.22.250 -m connlimit --connlimit-above 125 -j DROP

                  Regla para limita a 200 conexiones a todas las IP de una red:
                  iptables -I FORWARD -s 192.168.1.0/24 -p tcp -m connlimit --connlimit-above 200 -j REJECT --reject-with tcp-reset

                  Claro que esto es para Linux con iptables. ¿Existe algún comando parecido para el firewall de pfSense?

                  Saludos.

                  1 Reply Last reply Reply Quote 0
                  • bellera
                    bellera last edited by

                    ¡Hola!

                    Creo que ya te han contestado …

                    cada regla tiene una opción avanzada que permite limitar las conexiones

                    Pedías limitar por usuario y el ejemplo de IPTABLES limita por IP, no por usuario … Si no lo entiendo mal (no conozco bien IPTABLES).

                    Saludos,

                    Josep Pujadas

                    1 Reply Last reply Reply Quote 0
                    • H
                      hitbit last edited by

                      Saludos bellera

                      Efectivamente cada regla tiene una opción avanzada que permite limitar las conexiones o puertos abiertos por host, en este caso se tendría que habilitar reglas asociadas a grupos o segmentos de usuarios…

                      Lo que quiero es que todo el tráfico por host(IP) de LAN que salga por WAN este limitado a 800 conexiones(puertos) máximo.

                      Tendría que crear una regla con:
                      1- Simultaneous client connection limit: ???
                      2- Maximun state stries per host: 800
                      3- Maximun new connections/per second: ???
                      4- State Timeout in seconds: ???

                      Lo que no se es que poner en los campos 1,3,4

                      Pedías limitar por usuario y el ejemplo de IPTABLES limita por IP, no por usuario

                      Pero entiendo que cada usuario tiene asignada una IP, para mi es lo mismo. IP=USUARIO
                      Si estoy equivocado corrígeme.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post