讨论一下：如何限制单个IP在指定时间内的连接数限制

gejiajie_01

原帖由 platinum 于 2009-3-19 21:21 发表

但是这好像和控制连接数无关，UDP 发出去了不代表连接就建立了

是啊

刘世伟

connlimit不行的， 只能控制tcp,
要用hashlimit , 對源ip做hash運算，然后落到不同的池子里， 池子滿了的就限制。
iptables有hashlimit,  connlimit模塊好像已經淘汰了

刘世伟

原帖由 刘世伟 于 2009-3-22 09:03 发表
connlimit不行的， 只能控制tcp,
要用hashlimit , 對源ip做hash運算，然后落到不同的池子里， 池子滿了的就限制。
iptables有hashlimit,  connlimit模塊好像已經淘汰了

hashlimit 除了可以对源ip进行hash運算，还可以对目标ip，源端口，目标端口，源网段，目标网段进行hash运算， 可以实现对各种流量的限制。 而且统计流量的算法很简单。对cpu占用不高。

platinum

原帖由 刘世伟 于 2009-3-22 09:03 发表
connlimit不行的， 只能控制tcp,
要用hashlimit , 對源ip做hash運算，然后落到不同的池子里， 池子滿了的就限制。
iptables有hashlimit,  connlimit模塊好像已經淘汰了

connlimit 是可以的，他对 UDP 包也进行了状态检测（2.6.23+）

emmoblin

这都是防火墙的基本功能，防火墙中都是自己编程实现的。编程实现其实很简单的，就是加一个时间的判断。

dreamice

原帖由 emmoblin 于 2009-3-22 23:46 发表
这都是防火墙的基本功能，防火墙中都是自己编程实现的。编程实现其实很简单的，就是加一个时间的判断。

什么基本功能？

dreamice

原帖由 刘世伟 于 2009-3-22 09:03 发表
connlimit不行的， 只能控制tcp,
要用hashlimit , 對源ip做hash運算，然后落到不同的池子里， 池子滿了的就限制。
iptables有hashlimit,  connlimit模塊好像已經淘汰了

hashlimit,  connlimit这两者之间有什么差别？

platinum

原帖由 dreamice 于 2009-3-23 09:09 发表


hashlimit,  connlimit这两者之间有什么差别？

一个是限制每连接包速率的
一个是限制每连接连接数的
二者有功能不同
hashlimit 可以看做是 limit 模块的“每 IP”升级版，而 connlimit 是单独另一个功能模块，只不过相对 2.4 内核来说，2.6 内核加入了对 UDP 的控制

luo118

受益非浅

dreamice

原帖由 platinum 于 2009-3-23 09:36 发表

一个是限制每连接包速率的
一个是限制每连接连接数的
二者有功能不同
hashlimit 可以看做是 limit 模块的“每 IP”升级版，而 connlimit 是单独另一个功能模块，只不过相对 2.4 内核来说，2.6 内核加入了对 ...

白金兄说得这个每连接连接数应该是每IP吧，呵呵。
看来，这两个东西加起来应该很有用啊