Iptables кол-во коннектов

0

0

подскажите как сделать в

iptables -A -s 10.247.107.29/32 -p tcp -m tcp --dport 25 -j DROP

так чтоб не блокировать савсем всё, а разрешить этому человеку только 3 одновременных коннекта на 25 порт?

Ссылка

←	Установка httpd-devel

[mysql] смутное время

→

man iptables

   connlimit
       Allows you to restrict the number of parallel connections to a server per  client  IP  address  (or  client  address
       block).

Nao ★★★★★
(03.07.09 08:11:53 MSD)

Ответ на: комментарий от Nao 03.07.09 08:11:53 MSD

о!, спасибо я правильно изобразил?

iptables -A -s 10.247.107.29/32 -p tcp -m connlimit --connlimit-above 3 --dport 25 -j DROP

guest_
(03.07.09 08:39:03 MSD) автор топика

Ответ на: комментарий от guest_ 03.07.09 08:39:03 MSD

а не хочет работать так :-(( при чём ругается на COMMIT в таблице filter

guest_
(03.07.09 08:48:05 MSD) автор топика

> разрешить этому человеку только 3 одновременных коннекта на 25 порт

лучше это делать средствами MTA

Komintern ★★★★★
(03.07.09 08:56:55 MSD)

Ответ на: комментарий от Komintern 03.07.09 08:56:55 MSD

нужно именно через iptables, т.к. в идеале еще ему нужно будет ограничить и доступ и к другим портам

guest_
(03.07.09 09:01:05 MSD) автор топика

Ссылка

Ответ на: комментарий от guest_ 03.07.09 08:48:05 MSD

hizel@hzwork:~$ sudo modprobe xt_connlimit
 
hizel@hzwork:~$ sudo iptables -A -s 10.247.107.29/32 -p tcp -m connlimit --connlimit-above 3 --dport 25 -j DROP
Bad argument `10.247.107.29/32'
Try `iptables -h' or 'iptables --help' for more information.

hizel@hzwork:~$ sudo iptables -A INPUT -s 10.247.107.29/32 -p tcp -m connlimit --connlimit-above 3 --dport 25 -j DROP

hizel@hzwork:~$ sudo rmmod xt_connlimit
ERROR: Module xt_connlimit is in use

hizel ★★★★★
(03.07.09 09:20:38 MSD)

Ответ на: комментарий от hizel 03.07.09 09:20:38 MSD

вот ж блин! а в CentOS 5.3 нету модуля xt_connlimit :о((

guest_
(03.07.09 09:32:07 MSD) автор топика

Ответ на: комментарий от guest_ 03.07.09 09:32:07 MSD

>вот ж блин! а в CentOS 5.3 нету модуля xt_connlimit :о((

пересобери ядро с поддержкой оного.

Nao ★★★★★
(03.07.09 10:53:05 MSD)

Ссылка

Ответ на: комментарий от guest_ 03.07.09 09:32:07 MSD

Ты пробовал тупо правило вбить? Нужные модули он сам подрузит. Названия модулей несколько раз менялись, xt_connlimit это в современных ядрах.

true_admin ★★★★★
(03.07.09 12:55:49 MSD)

Ответ на: комментарий от true_admin 03.07.09 12:55:49 MSD

Дружок, ты не знаешь центоса :)

[root@xenix ~]# lsb_release -ir
Distributor ID: CentOS
Release:        5.3
[root@xenix ~]# uname -a
Linux xenix 2.6.18-128.1.14.el5xen #1 SMP Wed Jun 17 07:10:16 EDT 2009 x86_64 x86_64 x86_64 GNU/Linux
[root@xenix ~]# iptables -A INPUT -s 10.247.107.29/32 -p tcp -m connlimit --connlimit-above 3 --dport 25 -j DROP
iptables: Unknown error 18446744073709551615
[root@xenix ~]# locate connlimit
/lib64/iptables/libipt_connlimit.so

Только модуль критерия. Модуля ядра нет.

Это у меня рабочая машинка с дистрибутивным ядром x86_64 Xen. На других ядрах ситуация та же. Поэтому для фаерволов используем Debian в domU %)

nnz ★★★★
(03.07.09 14:18:19 MSD)