Limit poctu spojeni
Dalibor Kouřil
dalibork na sorbi.cz
Úterý Březen 13 07:17:52 CET 2007
Už jste vyřešili problém s omezením počtu spojení ? Vstupuji do diskuse
až teď, proto se předem omlouvám
pokud už bude moje rada out of date.
Já mám na serveru nastaveno toto pravidlo pro jednoho klienta a funguje
dokonale:
iptables -A FORWARD -s 192.168.100.45 -p tcp --syn --sport 600: -m
connlimit --connlimit-above 50 --connlimit-mask 32 -j REJECT
--reject-with tcp-reset
Kontroluje počet konexí nad portem 600 (neomezuje www atd) na 50.
Pokud by connlimit nefungoval, bude to nejspíš jádrem a iptables
(například Mandriva 2007 už nemá connlimit podporovaný... :( ).
Pokud se v něčem pletu, prosím opravte mě, díky.
DK
Dalibor Straka napsal(a):
> Ahoj,
>
> On Mon, Mar 12, 2007 at 08:45:31PM +0000, kopecek na centrum.cz wrote:
>
>> Ano, presne tak, ale neni reseni vyprazdnovat tabulku pomoci "conntrack",
>> protoze tim uriznu i to co nechci. Potrebuji neco, cim reknu napr. limit
>> je 100 connections na jednu IP a dal uz se o to nestarat...
>>
>>
> man 8 iptables:
> connlimit
> Allows you to restrict the number of parallel TCP
> connections to a server per client IP address (or address block).
> iptables -A INPUT -p tcp --syn --dport 23 -m connlimit \
> --connlimit-above 2 -j REJECT
>
Další informace o konferenci Linux