iptables 中的 connlimit 應該如何運作？

Question

經過多次測試，我發現只有預設的丟棄策略是不夠的，

*filter
-F
-X
:INPUT DROP [0:0]

非常重要的是不要假設它會被遵循。只有connlimit當你明確地在鏈的末尾新增刪除規則：

-A INPUT -j DROP

現在，即使並發數低於指定限制，它也能正常工作：

$ ab -kc 7 -t 6 http://mysite.com/
This is ApacheBench, Version 2.3 <$Revision: 1554214 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking mysite.com (be patient)
apr_pollset_poll: The timeout specified has expired (70007)

重要的是要測試。但不確定您是否會將其歸類為錯誤。

Answer 1

經過多次測試，我發現只有預設的丟棄策略是不夠的，

*filter
-F
-X
:INPUT DROP [0:0]

非常重要的是不要假設它會被遵循。只有connlimit當你明確地在鏈的末尾新增刪除規則：

-A INPUT -j DROP

現在，即使並發數低於指定限制，它也能正常工作：

$ ab -kc 7 -t 6 http://mysite.com/
This is ApacheBench, Version 2.3 <$Revision: 1554214 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking mysite.com (be patient)
apr_pollset_poll: The timeout specified has expired (70007)

重要的是要測試。但不確定您是否會將其歸類為錯誤。

iptables 中的 connlimit 應該如何運作？

答案1

相關內容