找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 7096|回复: 20

[其它] 关于设置tcp连接数的问题

[复制链接]
发表于 2006-12-8 08:52:26 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
请问这样的tcp连接限制怎么设
局域网内所有的计算机 tcp连接数限制在50 但唯独192.168.0.2这台ftp服务器的连接数限制在1000,请问大家怎么设 谢谢
routeros
发表于 2006-12-8 10:09:58 | 显示全部楼层
把设置1000的规则的IP单独放到顶上,然后下面的设置50。
routeros
回复

使用道具 举报

发表于 2006-12-8 10:19:42 | 显示全部楼层
原帖由 zooyo 于 2006-12-8 10:09 发表
把设置1000的规则的IP单独放到顶上,然后下面的设置50。

恐怕不行哦,你要了解 connlimit 模块的匹配以及工作机制才可以
依我看,还需要加一条到两条规则,加到 1000 和 50 之间
routeros
回复

使用道具 举报

发表于 2006-12-8 10:29:12 | 显示全部楼层
中间不需要加也可以。先设置0.2的为1000,然后设置!0.2的为50
routeros
回复

使用道具 举报

发表于 2006-12-8 10:36:44 | 显示全部楼层
原帖由 ssffzz1 于 2006-12-8 10:29 发表
中间不需要加也可以。先设置0.2的为1000,然后设置!0.2的为50

呵呵,那你在 Linux 下怎么写呢?
你试过吗?
routeros
回复

使用道具 举报

 楼主| 发表于 2006-12-8 10:38:14 | 显示全部楼层
原帖由 zooyo 于 2006-12-8 10:09 发表
把设置1000的规则的IP单独放到顶上,然后下面的设置50。

恐怕不行,我试过 因为action 是 drop
routeros
回复

使用道具 举报

发表于 2006-12-8 10:54:27 | 显示全部楼层
算了 大哥们我把脚本呈上你试试吧!

/ ip firewall mangle
add chain=prerouting src-address=不受限制的内网IP action=mark-connection new-connection-mark=nopcqlimit passthrough=yes comment="" disabled=no
add chain=prerouting connection-mark=nopcqlimit action=accept comment="" disabled=no

把这2条规则放到最上面,然后下面的依旧做连接限制就OK!
routeros
回复

使用道具 举报

发表于 2006-12-8 11:12:20 | 显示全部楼层
我觉的IPTABLES这样也可以
-s 192.168.0.2 -m connlimit --connlimit-above 1000 -j DROP
-s ! 192.168.0.2 -m connlimit --connlimit-above 50 -j DROP

不过没论证。
routeros
回复

使用道具 举报

发表于 2006-12-8 11:16:26 | 显示全部楼层
原帖由 ssffzz1 于 2006-12-8 11:12 发表
我觉的IPTABLES这样也可以
-s 192.168.0.2 -m connlimit --connlimit-above 1000 -j DROP
-s ! 192.168.0.2 -m connlimit --connlimit-above 50 -j DROP

不过没论证。

-s ! 192.168.0.2
那么从外网回来的呢?是否也会被 ! 192.168.0.2 匹配到?
routeros
回复

使用道具 举报

发表于 2006-12-8 11:22:11 | 显示全部楼层
也是啊,加一个-o “外网口”
routeros
回复

使用道具 举报

 楼主| 发表于 2006-12-8 11:23:00 | 显示全部楼层
我是个超级菜鸟 和各位大哥不再一个档次上
我是在 filter rules 里设置的  你们在mangle 里设置  
请问有什么区别吗?
routeros
回复

使用道具 举报

发表于 2006-12-8 11:45:11 | 显示全部楼层
我现在有一个问题自己还没有搞清楚
就是

  1. iptables -A FORWARD -d 192.168.0.2 -p tcp -m connlimit --connlimit-above 50 -j DROP
复制代码



  1. iptables -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --connlimit-above 50 -j DROP
复制代码

的区别在哪里,他们限制的 TCP 连接数是否有差别
如果弄清楚这个,那么这个问题就很好解决了
routeros
回复

使用道具 举报

发表于 2006-12-8 13:31:30 | 显示全部楼层
原帖由 platinum 于 2006-12-8 11:45 发表
我现在有一个问题自己还没有搞清楚
就是

iptables -A FORWARD -d 192.168.0.2 -p tcp -m connlimit --connlimit-above 50 -j DROP



iptables -A FORWARD -s 192.168.0.2 -p tcp -m connlimit --con ...


如果照你的写法,我觉得是一样的,-s和-d没有方向
但如果将上面的-p tcp 写成-p tcp --tcp-flags SYN
如此以来就可以获得你所需要的方向了,有条件的话可以自己做一下试验
routeros
回复

使用道具 举报

发表于 2006-12-8 13:54:56 | 显示全部楼层
-s 是源地址 -d是目的地址。他们限制的方向不一样。但如果192.168.0.2没有对外服务只是上网,这样应该效果查不多。但如果有服务,应该是不一样的。
routeros
回复

使用道具 举报

发表于 2006-12-8 14:51:45 | 显示全部楼层
我认为 ssffzz1 说的有道理,其实是不一样的
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-17 11:20 , Processed in 0.124301 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表