论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2011-12-07 11:42 |只看该作者 |倒序浏览

本帖最后由 00306 于 2011-12-08 14:09 编辑

iptables版本是 1.3.5
系统 centos 5.2  2.6.18-8.el5  32位

[root@mytest tools]# modprobe -l|grep ipt_connlimit
/lib/modules/2.6.18-8.el5/kernel/net/ipv4/netfilter/ipt_connlimit.ko

[root@mytest tools]# lsmod |grep ipt_connlimit
ipt_connlimit          7680  2
ip_conntrack          53153  1 ipt_connlimit
x_tables             17349  3 ipt_connlimit,ip_tables,xt_tcpudp

iptables规则（初衷：想限制最个IP最只能同时与ssh建立2个连接，每个IP与SSH建立连接的并发数为2）:
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j DROP
iptables -A INPUT -p tcp --dport 22 -m connlimit ! --connlimit-above 2 -j DROP
iptables -P INPUT DROP

测试发现没起作用，仍然可以随意超过这个限制数

求助！！

问题已经解决，是规则的顺序有问题，多谢各位

文库|博客

lolizeppelin

丰衣足食

论坛徽章:: 2

2楼 [报告]

发表于 2011-12-07 12:29 |只看该作者

-A INPUT -p tcp -m state --state NEW -m connlimit --connlimit-above 2 --connlimit-mask 32 -j DROP

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liyis永恒

稍有积蓄

论坛徽章:: 0

3楼 [报告]

发表于 2011-12-07 16:01 |只看该作者

#iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
#iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP