Chinaunix

标题: 关于connlimit的时间期限 [打印本页]
作者: ybbnew    时间: 2007-07-02 12:51
标题: 关于connlimit的时间期限
关于connlimit的解释:
This adds an iptables match which allows you to restrict the number of parallel TCP connections to a server per client IP address(or address block).

翻译:这个增加一个iptables匹配允许你限制每个客户ip地址的并发tcp连接,即同时连接到一个服务器个数.

Examples: 例子:

# allow 2 telnet connections per client host (允许每个客户机同时两个telnet连接)

iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# you can also match the other way around你也可以匹配其他的方法

iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# limit the nr of parallel http requests to 16 per class C sized (这下面例子限制80端口最多同时16个连接请求)

# network (24 bit netmask)

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT

模块 connlimit 作用:连接限制

--connlimit-above n 限制为多少个

--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip.

这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用

例如:只允许每个ip同时5个80端口转发,超过的丢弃:

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

例如:只允许每组C类ip同时10个80端口转发:

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP

例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT



=================================================
我想问一下的是,比如这条规则例如:只允许每个ip同时5个80端口转发,超过的丢弃:

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
有没有时间概念的?每个ip同时5个80,是怎么的一个时间概念??同时不知道该何理解!
作者: ssffzz1    时间: 2007-07-02 13:39
按照我的理解,应该就是每个IP最多5条链接,譬如5条TCP会话。
但是不清楚尚未建立的会话算不算,应该是不算的。
作者: ybbnew    时间: 2007-07-02 13:48
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
那比如上面这条规则,不可能我每台电脑永远就只允许5个新的连接吧??
这样的理论好像不对啊,我用光5个只后,就不能再用了?我觉得应该有个时间概念或范围吧!
作者: ybbnew    时间: 2007-07-02 21:44
哪位高手来指点一下啊!!
作者: platinum    时间: 2007-07-02 21:54
iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP
那比如上面这条规则,不可能我每台电脑永远就只允许5个新的连接吧??
这样的理论好像不对啊,我用光5个只后,就不能再用了?我觉得应该有个时间概念或范围吧!


ipt_connlimit.c 里面的注释说得很清楚
当链接关闭或者因为超时而关闭的话,自动删除记录


                if (found->ctrack->proto.tcp.state == TCP_CONNTRACK_TIME_WAIT) {
                        /* we don't care about connections which are
                           closed already -> ditch it */
                        lh = lh->prev;
                        list_del(lh->next);
                        kfree(conn);
                        nf_conntrack_put(&found->ctrack->infos[0]);
                        continue;
                }


[ 本帖最后由 platinum 于 2007-7-2 23:46 编辑 ]
作者: ybbnew    时间: 2007-07-03 09:36
多谢老大,经过实际测试,确实如此,谢谢!!

这个功能很实用,呵呵
作者: xuledw    时间: 2008-02-20 15:05
原帖由 platinum 于 2007-7-2 21:54 发表


ipt_connlimit.c 里面的注释说得很清楚
当链接关闭或者因为超时而关闭的话,自动删除记录


                if (found->ctrack->proto.tcp.state == TCP_CONNTRACK_TIME_WAIT) {
                    ...

我的如下,iptables默认允许一切
iptables -A FORWARD -p tcp -s 192.168.1.224 --syn --dport 80 -m connlimit --connlimit-above 2 -j DROP
但是实际测试的时候 客户机192.168.1.224能打开N多个服务器的80页面
iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP
当我通过securecrt打开3个SSH是都OK 但是当打开第四个的时候就会话超时了
这该怎么理解?
作者: busyant    时间: 2008-02-20 17:36
继续讨论这个问题:
如果我要限制,且仅限制192.168.100IP段中的任何一个IP,访问我23端口的链接数不能超过3个,那么策略要怎么来写?
1、是用脚本循环,把192.168.100.1-254的所有IP都加一遍?
还是
2、直接用:
iptabels -A INPUT -p tcp -s 192.168.100.0/24 -m connlimit --connlimit-above 3 --connlimit-mask 32 -j DROP?

关键在于,--connlimit-mask有多灵活!!!
作者: busyant    时间: 2008-02-21 10:52
原帖由 busyant 于 2008-2-20 17:36 发表
………………
2、直接用:
iptabels -A INPUT -p tcp -s 192.168.100.0/24 -m connlimit --connlimit-above 3 --connlimit-mask 32 -j DROP?
………………


在RHEL 3上验证成功。
作者: xuledw    时间: 2008-02-22 08:54
原帖由 busyant 于 2008-2-20 17:36 发表
继续讨论这个问题:
如果我要限制,且仅限制192.168.100IP段中的任何一个IP,访问我23端口的链接数不能超过3个,那么策略要怎么来写?
1、是用脚本循环,把192.168.100.1-254的所有IP都加一遍?
还是
2、直 ...

你的意思是小于或者等于3个的时候 这么写connlimit --connlimit-above 3 那么你在你的机器上实际的时候是打开第几个的时候就无法访问(3?4?5?)了呢,因为我测试结果有些出入所以问问 顺便说下 iptabels -A INPUT -p tcp -s 192.168.100.0/24 -m connlimit --connlimit-above 3 --connlimit-mask 32 -j DROP
这样确实是可以的 或者iptabels -A INPUT -p tcp -s 192.168.100.0/24 -m connlimit --connlimit-above 3  -j DROP都一样
作者: xuledw    时间: 2008-02-22 08:57
原帖由 xuledw 于 2008-2-20 15:05 发表

我的如下,iptables默认允许一切
iptables -A FORWARD -p tcp -s 192.168.1.224 --syn --dport 80 -m connlimit --connlimit-above 2 -j DROP
但是实际测试的时候 客户机192.168.1.224能打开N多个服务器的8 ...

关于我说的打开多个80的页面的问题。我重新测试了 应该就是platinum 说的那样 。我测试用GREENBROWSER这样的浏览器 新建窗口对打开数无限制 。如果开多个IE或者GREENBORWSER的话打开就会受到限制
作者: mygod100    时间: 2013-12-27 21:31
xuledw 发表于 2008-02-22 08:57
关于我说的打开多个80的页面的问题。我重新测试了 应该就是platinum 说的那样 。我测试用GREENBROWSER这样 ...



那针对GREENBROWSER这样打开多标签,如何限制?



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2