Как поставить ограничение на сиссий микротик каждому клиенту?

Question

[Ашот Асланян]

Здравствуйте. Помогите пожалуйста с решением такой проблемы.
Экспериментально включаю на одном маленьком квартале, где 1000 абонентов, функцию на MikroTik -е ограничение на 300 сессий каждому клиенту. через час звонят из где 10 человек с проблемой отсутствия интернета. конфигурация следующая... посмотрите пожалуйста что не так.

/ip firewall filter
add action=drop chain=forward comment="drop_300_peers" connection-limit=300,32 dst-address=!xx.xx.xx.xx/23 src-address-list="X-Tarif-->[300_peers]"

где - !xx.xx.xx.xx/23 это сеть IP адресов айпи телевидения которое я исключаю.

А все остальное drop.

NAT у меня такой

/ip firewall nat
add chain="src-nat" src-address="192.168.115.1/27" src-address-list="X-Tarif-->[300_peers]" action="src-nat" to-addresses="xx.xx.xx-real ip naprimer";
/ip firewall nat
add chain="src-nat" src-address="192.168.115.33/27" src-address-list="X-Tarif-->[300_peers]" action="src-nat" to-addresses="xx.xx.xx-real drugoy real ip"; и так далее..

Заранее скажу что те 10 абонентов у которых возникла проблема с инетом, не превышали своих сессий... этот вопрос я тщательно изучил.

У меня какое-то странное предчувствие того, что firewall filter в как-то вроде все сессий и понимает типо как все в одном совокупности...
хотя я указал в connection-limit=300,32, a 32 - это вроде как каждому айпи своя судьба))

что не так..???

кстати tcp-flags=syn не работает. так как ему нужно указать протокол tcp.
а функцию надо включить на все протоколы, включая UDP.

Answer 1

[CityCat4]

кстати tcp-flags=syn не работает...а функцию надо включить на все протоколы

В протоколах, отличных от TCP нет и не может быть флага SYN

Вы случайно ограничение лицензии RouterOS не превысили?

Comments

[Ашот Асланян]

с лицензией все впорядке.

[Ашот Асланян]

CityCat4, Ответьте пожалуйста, на одном примере, приведя одну строку.
Возможно ли поставить на Микротик-е ограничение сессий на клиенте, на все протоколы. если да, то приведите пожалуйста пример.

[Ашот Асланян]

CityCat4, или хотя бы ответьте пожалуйста на такой вопрос. чем неправильно это строка??
зачем она через несколько часов дропит множество тех абонентов, которые вовсе не превысили установленный лимит соединений?

/ip firewall filter
add action=drop chain=forward comment="drop_300_peers" connection-limit=300,32 dst-address=!xx.xx.xx.xx/23 src-address-list="X-Tarif-->[300_peers]"

где - dst-address=!xx.xx.xx.xx/23 это сеть IP адресов айпи телевидения которое я исключаю.

я тут не указал ни connection-state=new ни tcp-flags=syn, и что получится, если не указал? почему время от времени у некоторых пропадал инет?
впечатление такое, что время от времени, микротик запоминает все количества обработанных сессий, за день, и начинает дропить. поясните пожалуйста не отправляя меня никаких ссылок на википедию.