Como limitar o número de conexões por host passando por um roteador / bridge?

1

Por alguns motivos, nosso provedor de Internet tem uma limitação no número de conexões abertas simultâneas entre as máquinas hospedadas em nossa rede privada e a Internet, que é de cerca de 4.000 conexões simultâneas. (Para os detalhes, sua limitação vem do número de sessões NAT permitidas ao mesmo tempo).

Não temos acesso ao roteador do provedor de Internet , nem ao status dessa limitação ou quão próximos estamos do limite máximo, mas quando o limite é atingido, basicamente as máquinas internas têm um limite muito lento acesso à Internet (se funcionar) e temos que passar horas com a linha direta do provedor para convencê-los a reinicializar a tabela.

Eu gostaria de configurar o mesmo tipo de limitação, mas do nosso lado, para que possamos ficar de olho em como ela evolui, impor limites menores, para que não precisemos mais chamá-los e, esperamos, manter a conexão tranquila todo mundo.

Tenho à mão uma máquina Linux configurada como uma ponte (com 2 interfaces de rede) e / ou um roteador RouterOS 6 localizado entre nossa rede privada interna e o roteador fornecido pelo nosso provedor de Internet (ambos são opcionais, eu estava apenas tentando para ver qual seria o mais conveniente para configurar no tempo que eu tinha):

                         INTERNET
                            ^
                            |
                            |
                    +-------+------+
                    | Cisco Router |
                    +-------+------+
                            |
                            |
                            |
                      +-----+----+
                      | RouterOS |
                      +-----+----+
                            |
                            |
                            |
                    +-------+------+
                    | Linux Bridge |
                    +-------+------+
    +------------+----^     ^    ^-----+-------------+
    |            |          |          |             |
+---+---+   +----+--+   +---+---+   +--+----+   +----+--+
| Clt 1 |   | Clt 2 |   | Clt 3 |   | Clt 4 |   | Clt 5 |
+-------+   +-------+   +-------+   +-------+   +-------+

(temos no momento mais de 60 "clientes", que são computadores, telefones IP, servidores, máquinas virtuais, etc.)

É fácil encontrar documentação sobre como limitar a largura de banda ou as conexões de tráfego em um servidor usando iptables ou tc , mas não consigo encontrar muita coisa sobre o número de conexões simultâneas . Tanto quanto eu entendo, isso seria assumir o controle do sistema conntrack -ing da bridge ou do nosso roteador interno e impedir novas conexões se atingirmos os limites, mas não consigo encontrar nenhuma informação sobre como fazer isso.

Eu estaria interessado em ter alguns ponteiros para uma solução Linux, que eu posso tentar converter para o RouterOS, já que pode ser mais geralmente aplicável a outras configurações.

Para detalhes adicionais:

  • a rede interna está na sub-rede 192.168.101.0/24
  • ambas as máquinas roteadoras bridge e RouterOS têm um endereço IP dessa sub-rede
  • o roteador do provedor de Internet está executando um servidor DHCP e seu endereço IP privado (192.168.101.254) está configurado como a rota padrão para a Internet
  • as únicas coisas que podemos fazer com o roteador do provedor de Internet é reinicializá-lo e embaralhar os cabos da rede:)
por Jonathan Ballet 15.02.2016 / 17:27

0 respostas