如何將 connlimit 與 IP 集結合？

Question

假設我們有一個名為的 ipset MYTESTSET，而該 ipset 的類型為hash:ip。它只會儲存 ip 位址。

connlimit然後使用您想要的參數與您的 IPset 進行匹配，並在與匹配擴展進行匹配後進行匹配。

iptables -A INPUT -p tcp -m set --match-set MYTESTSET src -m connlimit --connlimit-above 1 --connlimit-saddr --connlimit-mask 32 -j DROP

這將執行以下操作：對於 IP 集中的每個來源，將計算連接數，如果有多個（--connlimit-above 1），它將被丟棄，從而限制連接數ipset 中的每個來源到1 --connlimit-upto xxx。-j ACCEPTDROP

如果要考慮整套並允許1個連接對於 ipset 中的所有來源然後將--connlimit-mask開關設定為0。

Answer 1

假設我們有一個名為的 ipset MYTESTSET，而該 ipset 的類型為hash:ip。它只會儲存 ip 位址。

connlimit然後使用您想要的參數與您的 IPset 進行匹配，並在與匹配擴展進行匹配後進行匹配。

iptables -A INPUT -p tcp -m set --match-set MYTESTSET src -m connlimit --connlimit-above 1 --connlimit-saddr --connlimit-mask 32 -j DROP

這將執行以下操作：對於 IP 集中的每個來源，將計算連接數，如果有多個（--connlimit-above 1），它將被丟棄，從而限制連接數ipset 中的每個來源到1 --connlimit-upto xxx。-j ACCEPTDROP

如果要考慮整套並允許1個連接對於 ipset 中的所有來源然後將--connlimit-mask開關設定為0。

相關內容