关于设置tcp连接数的问题

ssffzz1

得到老大认同真是不容易啊。

parphy

楼上两个是误会我的意思了（可能我没有说清楚），请仔细看我的原贴，我的本意是，虽然DST和SRC本身就决定了方向，但实际的工作效果却等于没有方向，原因就是没有把SYN的OPTION加入进去，而如果加入该选项的控制，则可以实现两个方向上的连接数控制，即，通过SYN+DST和SYN+SRC的组合来实现服务端和应用端的区分！

platinum

原帖由 parphy 于 2006-12-10 10:00 发表
楼上两个是误会我的意思了（可能我没有说清楚），请仔细看我的原贴，我的本意是，虽然DST和SRC本身就决定了方向，但实际的工作效果却等于没有方向

谁告诉你和方向无关了？也许这是一个初始请求包，也许是一个请求后的对方回复包，二者状态完全不同
我打你一拳与我还你一拳是不同的，我还你一拳是因为你打过我，我打你一拳是可能我占便宜

原因就是没有把SYN的OPTION加入进去

和 TCP 选项有关吗？

而如果加入该选项的控制，则可以实现两个方向上的连接数控制，即，通过SYN+DST和SYN+SRC的组合来实现服务端和应用端的区分！

netfilter 的工作机制是通过 conntrack 来判断状态的，connlimit 的要点就是 conntrack，有兴趣可以挖源码看看，很复杂很庞大。。。

[ 本帖最后由 platinum 于 2006-12-10 11:15 编辑 ]

parphy

今天粗看了一下netfilter的框架，果然，tuple里已经包含了DST，SRC，DIR成员了，起初我还以为直接是靠简单的连接计数器来做的。

郑重声明：
本人于本贴前面的谬误论点一律作废！！！

platinum

若还有兴趣，可以挖一下 netfilter 的 ipt_connlimit.c 看一下 ^_^

dghj_aaron

原帖由 zooyo 于 2006-12-8 10:54 发表

                               
登录/注册后可看大图

算了 大哥们我把脚本呈上你试试吧！

/ ip firewall mangle
add chain=prerouting src-address=不受限制的内网IP action=mark-connection new-connection-mark=nopcqlimit passthrough=yes comment="" disa ...

不受限制的内网是否应该包括路由器的地址呢！？