我正在關注iptables連線限制限制伺服器可以在連接埠 80 上獲得的連線數量。
/sbin/iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j REJECT --reject-with tcp-reset
這似乎限制了每個 IP 的連線數。有沒有辦法透過 IPTables 或 sysctl 來限制全域連線量。這意味著如果主機 A 堵塞了所有 10 個可用會話,那麼其他主機將無法連線?
答案1
您可以透過新增選項來修改規則--connlimit-mask 0。這有效地使您能夠限制全域連接,並且所有 IP 將不加區別地對待。
相反,32IPv4 的預設值意味著單獨匹配每個 IP。
正如 @JayMcTee 所建議的,您可以使用 Web 伺服器層級的解決方案來限制連線限制。例如,您可以查看MaxClients選項阿帕契。