关于设置tcp连接数的问题
请问这样的tcp连接限制怎么设局域网内所有的计算机 tcp连接数限制在50 但唯独192.168.0.2这台ftp服务器的连接数限制在1000,请问大家怎么设 谢谢 把设置1000的规则的IP单独放到顶上,然后下面的设置50。 原帖由 zooyo 于 2006-12-8 10:09 发表
把设置1000的规则的IP单独放到顶上,然后下面的设置50。
恐怕不行哦,你要了解 connlimit 模块的匹配以及工作机制才可以
依我看,还需要加一条到两条规则,加到 1000 和 50 之间 中间不需要加也可以。先设置0.2的为1000,然后设置!0.2的为50 原帖由 ssffzz1 于 2006-12-8 10:29 发表
中间不需要加也可以。先设置0.2的为1000,然后设置!0.2的为50
呵呵,那你在 Linux 下怎么写呢?
你试过吗? 原帖由 zooyo 于 2006-12-8 10:09 发表
把设置1000的规则的IP单独放到顶上,然后下面的设置50。
恐怕不行,我试过 因为action 是 drop 算了 大哥们我把脚本呈上你试试吧!
/ ip firewall mangle
add chain=prerouting src-address=不受限制的内网IP action=mark-connection new-connection-mark=nopcqlimit passthrough=yes comment="" disabled=no
add chain=prerouting connection-mark=nopcqlimit action=accept comment="" disabled=no
把这2条规则放到最上面,然后下面的依旧做连接限制就OK! 我觉的IPTABLES这样也可以
-s 192.168.0.2 -m connlimit --connlimit-above 1000 -j DROP
-s ! 192.168.0.2 -m connlimit --connlimit-above 50 -j DROP
不过没论证。 原帖由 ssffzz1 于 2006-12-8 11:12 发表
我觉的IPTABLES这样也可以
-s 192.168.0.2 -m connlimit --connlimit-above 1000 -j DROP
-s ! 192.168.0.2 -m connlimit --connlimit-above 50 -j DROP
不过没论证。
-s ! 192.168.0.2
那么从外网回来的呢?是否也会被 ! 192.168.0.2 匹配到? 也是啊,加一个-o “外网口” 我是个超级菜鸟 和各位大哥不再一个档次上
我是在 filter rules 里设置的你们在mangle 里设置
请问有什么区别吗? 我现在有一个问题自己还没有搞清楚
就是
iptables -A FORWARD -d 192.168.0.2 -p tcp -m connlimit --connlimit-above 50 -j DROP
与
iptables -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --connlimit-above 50 -j DROP
的区别在哪里,他们限制的 TCP 连接数是否有差别
如果弄清楚这个,那么这个问题就很好解决了 原帖由 platinum 于 2006-12-8 11:45 发表
我现在有一个问题自己还没有搞清楚
就是
iptables -A FORWARD -d 192.168.0.2 -p tcp -m connlimit --connlimit-above 50 -j DROP
与
iptables -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --con ...
如果照你的写法,我觉得是一样的,-s和-d没有方向
但如果将上面的-p tcp 写成-p tcp --tcp-flags SYN
如此以来就可以获得你所需要的方向了,有条件的话可以自己做一下试验 -s 是源地址 -d是目的地址。他们限制的方向不一样。但如果192.168.0.2没有对外服务只是上网,这样应该效果查不多。但如果有服务,应该是不一样的。 我认为 ssffzz1 说的有道理,其实是不一样的
页:
[1]
2