iptables connlimit

connlimit то ограничение на количество одновременно существующих коннектов для айпи-адреса. Лучше его не использовать и по возможности использовать соответствующий функционал в приложении, чтобы не грузить файрволл в ядре stateful вычислениями.

hashlimit это ограничение пакетов в секунду на айпи-адрес.

Connlimit один лимит под условие. будет дан лимит в 100 под целое правило.

Hashlimit много отдельных лимитов для каждого совпадения . Например в режиме srcip каждому srcip будет дан лимит в 100 шт.

Ерунда.

Спасибо. Пробую добавить правило на hashlimit.

-A INPUT -p tcp -m tcp –dport 443 -m state –state NEW -m hashlimit –hashlimit 20/sec –hashlimit-burst 20 –hashlimit-mode srcip –hashlimit-name syn -j ACCEPT

-A INPUT -p tcp -m tcp –dport 443 -j DROP

Блокирует весь трафик на 443 порт. Что делаю не так?

Без state –state NEW работает.

конечно, сначала разрешили новые не более х шт в секунду, а потом забанили ВСЕ. Добавьте тогда уж NEW во 2-е правило тоже.

Эти правила означают:

1) разрешить до 20 пакетов новых подключений в секунду с каждого удалённого айпи

2) запретить всё остальное (в том числе все не новые подключения)

То есть к тебе кто-то присылает пакет нового коннекта, его ты пропускаешь, а всё что потом - блокируешь. Что ты хочешь сделать то?

Благодарю да вы правы.

Нет, лимит пакетов под условие это limit. А connlimit это лимит одновременных коннектов.

Спасибо уже разобрался. Ограничить пропускную полосу на сервере.

А где вы увидели слово пакеты?
Bers666 написал “один лимит под условие”

Bers666 должен был написать про пакеты, но не написал, я и поправил. Он перепутал connlimit и limit и написал вообще не то что нужно.

и написал вообще не то что нужно.

Он написал именно то что нужно.

Нет, он наврал. Если ты считал то же самое значит ты тоже заблуждаешься. connlimit не делает никаких «лимитов под правило», он смотрит состояние tcp-стека - количество активных соединений. Лимиты под правило это лимиты на скорость прохождения пакетов - limit, hashlimit, второй делает не один счётчик а пул чтобы разные адреса отдельно считались.

«лимитов под правило»

Где вы в этой теме увидели такую фразу, кроме как в своём посте?

Странно. с такой конфигурацией не фильтрует трафик

-A INPUT -p tcp -m tcp –dport 443 -m hashlimit –hashlimit 2/sec –hashlimit-burst 2 –hashlimit-mode srcip –hashlimit-name syn -j ACCEPT

с такой фильтрует -A INPUT -p tcp -m tcp –dport 443 -m hashlimit –hashlimit-upto 2/sec –hashlimit-burst 2 –hashlimit-mode srcip –hashlimit-name abc -j ACCEPT

В чём разница между –hashlimit и –hashlimit-upto не подскажете?