Aus bestimmten Gründen ist die Anzahl gleichzeitig geöffneter Verbindungen zwischen den in unserem privaten Netzwerk gehosteten Maschinen und dem Internet bei unserem Internetprovider auf etwa 4000 gleichzeitige Verbindungen beschränkt. (Die Beschränkung ergibt sich aus der Anzahl gleichzeitig zulässiger NAT-Sitzungen.)
Wir haben keinen Zugriff auf den Router des Internetproviders, noch über den Status dieser Begrenzung oder wie nahe wir an der maximalen Begrenzung sind, aber wenn die Begrenzung erreicht ist, haben die internen Maschinen grundsätzlich einesehr langsamInternetzugang (sofern dieser überhaupt funktioniert) und wir müssen stundenlang bei der Hotline des Providers rumsitzen, um ihn davon zu überzeugen, die Tabelle neu zu initialisieren.
Ich würde gerne die gleiche Art von Beschränkung einrichten, aber auf unserer Seite, damit wir die Entwicklung im Auge behalten, kleinere Beschränkungen durchsetzen können, damit wir sie nicht mehr aufrufen müssen und hoffentlich die Verbindung für alle reibungslos aufrechterhalten können.
Ich habe eine als Bridge konfigurierte Linux-Maschine (mit zwei Netzwerkschnittstellen) und/oder einen RouterOS 6-Router zwischen unserem internen privaten Netzwerk und dem Router unseres Internetproviders zur Hand (beides ist optional, ich wollte nur sehen, was in der mir zur Verfügung stehenden Zeit am einfachsten zu konfigurieren ist):
INTERNET
^
|
|
+-------+------+
| Cisco Router |
+-------+------+
|
|
|
+-----+----+
| RouterOS |
+-----+----+
|
|
|
+-------+------+
| Linux Bridge |
+-------+------+
+------------+----^ ^ ^-----+-------------+
| | | | |
+---+---+ +----+--+ +---+---+ +--+----+ +----+--+
| Clt 1 | | Clt 2 | | Clt 3 | | Clt 4 | | Clt 5 |
+-------+ +-------+ +-------+ +-------+ +-------+
(wir haben derzeit über 60 „Clients“, d. h. Computer, IP-Telefone, Server, virtuelle Maschinen usw.)
Es gibt leicht Dokumentationen darüber, wie man die Bandbreite oder Verbindungen auf einem Server mit iptablesoder begrenzen kann tc, aber ich kann nicht viel über die findenAnzahl gleichzeitiger Verbindungen. So wie ich das verstehe, würde das bedeuten, die Kontrolle über das conntrack-ing-System der Bridge oder unseres internen Routers zu übernehmen und neue Verbindungen zu verhindern, wenn wir die Grenzen erreichen, aber ich kann keine Informationen dazu finden, wie das geht.
Mich würden einige Hinweise zu einer Linux-Lösung interessieren, die ich versuchen kann, auf RouterOS umzuwandeln, da sie möglicherweise allgemeiner auf andere Konfigurationen anwendbar ist.
Weitere Einzelheiten:
- das interne Netzwerk liegt im Subnetz 192.168.101.0/24
- Sowohl die Bridge als auch die RouterOS-Router-Maschinen haben eine IP-Adresse aus diesem Subnetz
- Der Router des Internetproviders betreibt einen DHCP-Server und seine private IP-Adresse (192.168.101.254) ist als Standardroute zum Internet konfiguriert.
- das einzige was wir mit dem Router des Internetproviders machen können, ist ihn neu zu starten und die Netzwerkkabel umzustecken :)