限制连接数与限制带宽的效果比较

zaqxsw88888 · 发表于 2007-10-27 15:32:08

原帖由 add1132 于 2007-10-14 00:10 发表

 登录/注册后可看大图

我今天也 m0n0wall 的shellcmd加了句：
/sbin/ipfw add allow tcp from 192.168.1.1/24 to any setup limit src-addr 20

确实有效果，哈哈。

你写错了吧，是/sbin/ipfw add allow tcp from 192.168.1.0/24 to any setup limit src-addr 20
这个吧

这样才是每个IP都是20个呀

redbird · 发表于 2007-10-27 21:45:57

很好的经验了！！

bfrader · 发表于 2007-11-13 10:16:14

曾经有人问，20个并发连接数够不够？你可以参考一下windows xp sp2的参数——只允许10个并发连接数。在各种p2p软件破解xp sp2的并发连接数限制之前，大家上网不是很正常吗？这说明20个并发连接数足够用了。

dgclan · 发表于 2007-11-17 20:43:16

原帖由 bfrader 于 2007-10-13 21:45 发表

 登录/注册后可看大图

应该加在“防火墙规则配置”--“编辑自定义防火墙规则”里，或者其它自动运行脚本文件里

注意：要备份配置后，重新启动路由器才能生效！

do
iptables -I FORWARD -p tcp -s 192.168.0.$a -m connlimit --connlimit-above 20 -j REJECT
iptables -I INPUT -p tcp -s 192.168.0.$a -m connlimit --connlimit-above 20 -j REJECT
a=`expr $a "+" 1`
done

只添加下面这2句就可以了?

iptables -I FORWARD -p tcp -s 192.168.0.$a -m connlimit --connlimit-above 20 -j REJECT
iptables -I INPUT -p tcp -s 192.168.0.$a -m connlimit --connlimit-above 20 -j REJECT
a=`expr $a "+" 1`

我原来用的是

iptables -I FORWARD -p tcp -s 192.168.123.151 -m connlimit --connlimit-above 25 -j REJECT
这样可以吗?

bfrader · 发表于 2007-12-4 18:22:14

回dgclan：用你那一句也可以了，iptables -I INPUT -p tcp -s 192.168.0.$a -m connlimit --connlimit-above 20 -j REJECT用于防止对路由器的攻击

longdragon2919 · 发表于 2007-12-6 10:44:45

这个和ROS 限连接有什么区别
/ ip firewall filter
add chain=forward protocol=tcp connection-limit=50,32 action=drop \
disabled=no comment="alltcp"

bfrader · 发表于 2007-12-6 12:18:14

原帖由 longdragon2919 于 2007-12-6 10:44 发表

 登录/注册后可看大图

这个和ROS 限连接有什么区别
/ ip firewall filter
add chain=forward protocol=tcp connection-limit=50,32 action=drop \
disabled=no comment="alltcp"

ROS我没用过，不过按照我的理解，应该是一样的，ROS更强大一些，一个命令就可以每ip限制连接数，而用linux命令的话，就要好几个语句了。

longdragon2919 · 发表于 2007-12-6 19:30:20

可是 ROS一般ROS最少限50个连接，限制20肯定有问题
应该和这个不同吧

edchild · 发表于 2007-12-12 00:27:06

connlimit这个模块在BRAZILFW中可以使用的

谢谢楼主提供的思维,使我明白用FOR 语句

bfrader · 发表于 2007-12-12 16:04:51

原帖由 edchild 于 2007-12-12 00:27 发表

 登录/注册后可看大图

connlimit这个模块在BRAZILFW中可以使用的

谢谢楼主提供的思维,使我明白用FOR 语句

呵呵，我在没有expr命令的情况下用FOR语句，是不得已的方法，很笨啊。

edchild · 发表于 2007-12-12 16:58:31

FOR语句比较耗内存

有没有更优化的方法,能用在BRAZILFW下的

EXPR文件相对于BRAZILFW来说太大了,调用时间特别长

bfrader · 发表于 2007-12-12 17:41:05

原帖由 edchild 于 2007-12-12 16:58 发表

 登录/注册后可看大图

FOR语句比较耗内存

有没有更优化的方法,能用在BRAZILFW下的

EXPR文件相对于BRAZILFW来说太大了,调用时间特别长

这些命令只是在机器启动时运行一次，在系统正常运行时对系统没有影响，所以耗内存也好，调用时间长也好，都只是暂时的

edchild · 发表于 2007-12-12 20:44:49

所以我宁愿运行一次耗内存用FOR语句,

放弃用EXRP

其实发觉BRAZILFW的功能比ROS强大易用直观,而且想要什么功能就安装什么插件方便

就是官方主页主流讨论的页面是葡萄牙语的

bfrader · 发表于 2007-12-14 08:07:48

ROS我没用过，不习惯它的命令。自己是从dos过渡到linux，命令用起来比较顺手。不过听说ROS功能很强大的，我用winbox进入别人单位的ROS，里面的东西看得眼花缭乱的，不知怎么用。

jk0wg · 发表于 2007-12-15 22:47:08

楼主试过 -m limit --limit 30/s吗? limit是限制发包的速度.超过设定速率.就DROP. connlimit在LINUX下要对iptables打补丁才能用.所以没用过connlimit.楼主有条件的话对比下limit和connlimit两者的区别.

账号		自动登录	找回密码
密码			注册