Limit poctu spojeni

[kopecek na centrum.cz]

Zdravim,
   pouzivam na svem routeru Debian Sarge v testingu. Kernel mam 2.6.18.2,
recompilovane iptables 1.3.7

Mam problem v tom, ze jeden klient pouziva nejaky agresivni p2p program a
neustale mi zahlcuje ip_conntrack. Ten mam nastaven na max 65528 a treba
50-60t spojeni je z jedne IP adresy. Silene. Nasledne router uz jen pise
ip-contrack full, Droping packet a zbytek klientu jde do kytek. Pomuze jen
obcasny restart routeru, coz neni reseni. Souvisi to take s tim, ze pokud
takovy klient na WiFi navaze takove mnozstvi spojeni, tak tim celou linku
totalne zahlti.

Nasel jsem connlimit modul do iptables, ktery by to mel resit, ale zrejme
neni podporovan v novych kernelech. Modul (resp primou kompilaci do jadra)
pro connlimit mam. Pokud si dam help na -m connlimit, tak mi iptables
vypisou volby, takze to je bez problemu. Neustale mi ale pri pokudu o
pridani pravidla, iptables pisi No chain/target/match by that name

Potrebuju jakykoliv zpusob, jak na kernelu 2.6.18(19,20) zajistit limit na
pocet spojeni z jedne IP. ipp2p, pokud vim, zajistuje shaping, coz neni muj
cil. Nechci limitovat/shapovat p2p, jen potrebuju omezit klienty na
soucasny pocet spojeni... 


iptables -m connlimit -h
connlimit v1.3.7 options:
[!] --connlimit-above n         match if the number of existing tcp
connections is (not) above n
 --connlimit-mask n             group hosts using mask

-----------------------------------------
RouterBM:/home/kopecek# iptables -A FORWARD -p tcp -s 10.88.XX.XX -m
connlimit --connlimit-above 300 --connlimit-mask 32  -j REJECT
--reject-with
tcp-reset
iptables: No chain/target/match by that name

RouterBM:/home/kopecek# iptables -A FORWARD -p tcp -m connlimit
--connlimit-above 300 --connlimit-mask 32  -j REJECT --reject-with
tcp-reset
iptables: No chain/target/match by that name

RouterBM:/home/kopecek# iptables -A FORWARD -p tcp -m connlimit
--connlimit-above 300 --connlimit-mask 32  -j DROP
iptables: No chain/target/match by that name

Poradite nekdo?