
平臺論壇博客文庫

› 論壇 › 操作系統(tǒng) › Linux系統(tǒng)管理 › 用iptables的connlimit模塊限制不了端口的連接數(shù)

用iptables的connlimit模塊限制不了端口的連接數(shù) [復(fù)制鏈接]

00306

家境小康

論壇徽章:: 0

電梯直達

1樓 [收藏(0)] [報告]

發(fā)表于 2011-12-07 11:42 |只看該作者 |倒序瀏覽

本帖最后由 00306 于 2011-12-08 14:09 編輯

iptables版本是 1.3.5
系統(tǒng) centos 5.2  2.6.18-8.el5  32位

[root@mytest tools]# modprobe -l|grep ipt_connlimit
/lib/modules/2.6.18-8.el5/kernel/net/ipv4/netfilter/ipt_connlimit.ko

[root@mytest tools]# lsmod |grep ipt_connlimit
ipt_connlimit          7680  2
ip_conntrack          53153  1 ipt_connlimit
x_tables             17349  3 ipt_connlimit,ip_tables,xt_tcpudp

iptables規(guī)則（初衷：想限制最個IP最只能同時與ssh建立2個連接，每個IP與SSH建立連接的并發(fā)數(shù)為2）:
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j DROP
iptables -A INPUT -p tcp --dport 22 -m connlimit ! --connlimit-above 2 -j DROP
iptables -P INPUT DROP

測試發(fā)現(xiàn)沒起作用，仍然可以隨意超過這個限制數(shù)

求助��！

問題已經(jīng)解決，是規(guī)則的順序有問題，多謝各位

文庫|博客

Apache官方強心劑：開源不受出口管理條例約束！
Linux基礎(chǔ)命令---lynx瀏覽器
Dell R740服務(wù)器設(shè)置磁盤直通,不做RAID虛擬磁盤陣列
Linux基礎(chǔ)命令---elinks文本瀏覽器
Linux基礎(chǔ)命令---wget下載工具

lolizeppelin

豐衣足食

論壇徽章:: 2

2樓 [報告]

發(fā)表于 2011-12-07 12:29 |只看該作者

-A INPUT -p tcp -m state --state NEW -m connlimit --connlimit-above 2 --connlimit-mask 32 -j DROP

實戰(zhàn)分享：從技術(shù)角度談機器學(xué)習(xí)入門| 【大話IT】RadonDB低門檻向MySQL集群下戰(zhàn)書 | ChinaUnix打賞功能已上線！ | 新一代分布式關(guān)系型數(shù)據(jù)庫RadonDB知多少？

liyis永恒

稍有積蓄

論壇徽章:: 0

3樓 [報告]

發(fā)表于 2011-12-07 16:01 |只看該作者

#iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJECT
#iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j DROP