В sendmail есть возможность ограничить количество одновременных соединений с одного ip через FEATURE(`conncontrol'). Аналог подобного ограничения в iptables - connlimit.
Отлично: ограничиваем через iptables - sendmail'у меньше работы.
У sendmail имется также
FEATURE(`ratecontrol') - ограничение количества соединений с одного ip за указанный промежуток времени (обычно 60 сек)
Вот хотелось бы подобное сделать через iptables, чтобы при превышении определенного кол-ва соединений с одного ip (любого)
за, скажем, 1 минуту, следующее соединение отвергалось.
Возможно ли это сделать с помощью iptables? Если да, то как?
Если нет, то какой другой пакетный фильтр это умеет?
-m limit даст ограничение общего количества соединений за "размытый"
промежуток времени (называю его размытым, потому что прием/отлуп соединения зависит от глубины корзины и скорости поступления новых соединений). И в данном случае меня не устраивает не "размытость" промежутка, а то, что соединения с _разных_ ip будут считаться _вместе_.
Если я не правильно понимаю -m limit, то пож-та поправьте.
Мне фактически нужен dstlimit (As opposed to the `limit' match, every destination ip / destination port has it's own limit),
только по отношению к ip источника.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.