|
|
发表于 2006-3-7 17:03:06
|
显示全部楼层
楼主的情况,算不算连接呢,,,,?
转贴一下:
3. connlimit(同时连接个数限制匹配)
[root@kindgeorge patch-o-matic-ng-20050331]# cat connlimit/info
Title: iptables connlimit match (标题: iptables同时连接个数限制匹配)
Author: Gerd Knorr <kraxel@bytesex.org> (作者:名字,email地址)
Status: ItWorksForMe[tm] (状态:我可以运作)
Repository: base (贮仓库: 基础的)
[root@kindgeorge patch-o-matic-ng-20050331]# cat connlimit/help
This adds an iptables match which allows you to restrict the number of parallel TCP connections to a server per client IP address(or address block).
翻译:这个增加一个iptables匹配允许你限制每个客户ip地址的并发tcp连接,即同时连接到一个服务器个数.
Examples: 例子:
# allow 2 telnet connections per client host (允许每个客户机同时两个telnet连接)
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
# you can also match the other way around 你也可以匹配其他的方法
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT
# limit the nr of parallel http requests to 16 per class C sized (这下面例子限制80端口最多同时16个连接请求)
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT
模块 connlimit 作用:连接限制
--connlimit-above n 限制为多少个
--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip.
这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用
例如:只允许每个ip同时5个80端口转发,超过的丢弃:
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
例如:只允许每组C类ip同时10个80端口转发:
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP
例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.
/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT |
|
IP卡
狗仔卡
楼主
显身卡