楼上两个是误会我的意思了(可能我没有说清楚),请仔细看我的原贴,我的本意是,虽然DST和SRC本身就决定了方向,但实际的工作效果却等于没有方向
谁告诉你和方向无关了?也许这是一个初始请求包,也许是一个请求后的对方回复包,二者状态完全不同
我打你一拳与我还你一拳是不同的,我还你一拳是因为你打过我,我打你一拳是可能我占便宜
原因就是没有把SYN的OPTION加入进去
和 TCP 选项有关吗?
而如果加入该选项的控制,则可以实现两个方向上的连接数控制,即,通过SYN+DST和SYN+SRC的组合来实现服务端和应用端的区分!
netfilter 的工作机制是通过 conntrack 来判断状态的,connlimit 的要点就是 conntrack,有兴趣可以挖源码看看,很复杂很庞大。。。
[ 本帖最后由 platinum 于 2006-12-10 11:15 编辑 ]
果然如此
今天粗看了一下netfilter的框架,果然,tuple里已经包含了DST,SRC,DIR成员了,起初我还以为直接是靠简单的连接计数器来做的。:Q 郑重声明:
本人于本贴前面的谬误论点一律作废!!! 若还有兴趣,可以挖一下 netfilter 的 ipt_connlimit.c 看一下 ^_^ 原帖由 zooyo 于 2006-12-8 10:54 发表 http://bbs.routerclub.com/images/common/back.gif
算了 大哥们我把脚本呈上你试试吧!
/ ip firewall mangle
add chain=prerouting src-address=不受限制的内网IP action=mark-connection new-connection-mark=nopcqlimit passthrough=yes comment="" disa ...
不受限制的内网是否应该包括路由器的地址呢!?
页:
1
[2]