Por alguns motivos, o nosso fornecedor de Internet tem uma limitação no número de ligações simultâneas abertas entre as máquinas alojadas na nossa rede privada e a Internet que ronda as 4000 ligações simultâneas. (Para mais detalhes, sua limitação vem do número de sessões NAT permitidas ao mesmo tempo).
Não temos acesso no roteador do provedor de Internet, nem sobre o estado desta limitação ou quão perto estamos do limite máximo, mas quando o limite é atingido, basicamente as máquinas internas têm ummuito devagarAcesso à Internet (se funcionar) e temos que passar horas com a linha direta do provedor para convencê-los a reinicializar a mesa.
Eu gostaria de estabelecer o mesmo tipo de limitação, mas do nosso lado, para que possamos ficar de olho em como ela evolui, impor limites menores para que não tenhamos mais que chamá-los e, esperançosamente, manter a conexão tranquila para todos.
Tenho em mãos uma máquina Linux configurada como bridge (com 2 interfaces de rede) e/ou um roteador RouterOS 6 localizado entre nossa rede privada interna e o roteador fornecido pelo nosso provedor de Internet (ambos são opcionais, só estava tentando ver o que seria o mais conveniente de configurar no tempo que eu tinha):
INTERNET
^
|
|
+-------+------+
| Cisco Router |
+-------+------+
|
|
|
+-----+----+
| RouterOS |
+-----+----+
|
|
|
+-------+------+
| Linux Bridge |
+-------+------+
+------------+----^ ^ ^-----+-------------+
| | | | |
+---+---+ +----+--+ +---+---+ +--+----+ +----+--+
| Clt 1 | | Clt 2 | | Clt 3 | | Clt 4 | | Clt 5 |
+-------+ +-------+ +-------+ +-------+ +-------+
(temos neste momento mais de 60 “clientes”, que são computadores, telefones IP, servidores, máquinas virtuais, etc.)
É fácil encontrar documentação sobre como limitar a largura de banda do tráfego ou conexões em um servidor usando iptablesou tcmas não consigo encontrar muita coisa sobre onúmero de conexões simultâneas. Pelo que entendi, isso seria assumir o controle do conntracksistema -ing da ponte ou do nosso roteador interno e impedir novas conexões se atingirmos os limites, mas não consigo encontrar nenhuma informação sobre como fazer isso.
Eu estaria interessado em ter algumas dicas para uma solução Linux, que posso tentar converter para RouterOS, pois pode ser aplicável de forma mais geral a outras configurações.
Para detalhes extras:
- a rede interna está dentro da sub-rede 192.168.101.0/24
- tanto a ponte quanto as máquinas do roteador RouterOS têm um endereço IP desta sub-rede
- o roteador do provedor de Internet está executando um servidor DHCP e seu endereço IP privado (192.168.101.254) está configurado como rota padrão para a Internet
- a única coisa que podemos fazer com o roteador do provedor de Internet é reiniciá-lo e embaralhar os cabos de rede :)