Por algunas razones, nuestro proveedor de Internet tiene una limitación en el número de conexiones abiertas simultáneas entre las máquinas alojadas en nuestra red privada e Internet, que es de alrededor de 4000 conexiones simultáneas. (Para más detalles, su limitación proviene del número de sesiones NAT permitidas al mismo tiempo).
No tenemos acceso al enrutador del proveedor de Internet., ni sobre el estado de esta limitación o qué tan cerca estamos del límite máximo, pero cuando se alcanza el límite, básicamente las máquinas internas tienen unmuy lentoAcceso a Internet (si es que funciona) y tenemos que pasar horas con la línea directa del proveedor para convencerlos de que reinicien la tabla.
Me gustaría establecer el mismo tipo de limitación pero de nuestro lado, para que podamos estar atentos a cómo evoluciona, imponer límites más pequeños para no tener que llamarlos más y, con suerte, mantener la conexión fluida para todos.
Tengo a mano una máquina Linux configurada como puente (con 2 interfaces de red) y/o un enrutador RouterOS 6 ubicado entre nuestra red privada interna y el enrutador proporcionado por nuestro proveedor de Internet (ambos son opcionales, solo estaba tratando de ver qué Sería lo más conveniente para configurar en el tiempo que tenía):
INTERNET
^
|
|
+-------+------+
| Cisco Router |
+-------+------+
|
|
|
+-----+----+
| RouterOS |
+-----+----+
|
|
|
+-------+------+
| Linux Bridge |
+-------+------+
+------------+----^ ^ ^-----+-------------+
| | | | |
+---+---+ +----+--+ +---+---+ +--+----+ +----+--+
| Clt 1 | | Clt 2 | | Clt 3 | | Clt 4 | | Clt 5 |
+-------+ +-------+ +-------+ +-------+ +-------+
(Tenemos en este momento más de 60 "clientes", que son computadoras, teléfonos IP, servidores, máquinas virtuales, etc.)
Es fácil encontrar documentación sobre cómo limitar el ancho de banda del tráfico o las conexiones en un servidor usando iptableso, tcpero no puedo encontrar muchas cosas sobrenúmero de conexiones simultáneas. Según tengo entendido, eso sería tomar el control del conntracksistema de conexión del puente o de nuestro enrutador interno y evitar nuevas conexiones si alcanzamos los límites, pero no encuentro ninguna información sobre cómo hacerlo.
Me interesaría tener algunos consejos para una solución de Linux, que puedo intentar convertir a RouterOS, ya que podría ser más aplicable a otras configuraciones.
Para detalles adicionales:
- la red interna está dentro de la subred 192.168.101.0/24
- Tanto el puente como las máquinas enrutadoras RouterOS tienen una dirección IP de esta subred
- el enrutador del proveedor de Internet ejecuta un servidor DHCP y su dirección IP privada (192.168.101.254) está configurada como la ruta predeterminada hacia Internet
- Lo único que podemos hacer con el enrutador del proveedor de Internet es reiniciarlo y mezclar los cables de red :)