Есть задача ограничить кол-во одновременных открытых tcp-соединений у клиентов находящихся за linux-роутером.
До меня было сделано так:
-i eth0 -p tcp -m connlimit --connlimit-above 99 --connlimit-mask 32 -j DROP
что не нравится:
периодически подскакивает load average на роутере; conntrack -F решает это.
есть мнение, что это вообще не работает.
итак, какая альтернатива connlimit есть в природе?
ограничивать кол-во SYN пакетов за единицу времени, имхо,не вариант.
Ответ на:
комментарий
от nnz
Ответ на:
комментарий
от brumalik
Ответ на:
комментарий
от true_admin
Ответ на:
комментарий
от brumalik
Ответ на:
комментарий
от ansky
Ответ на:
комментарий
от brumalik
Ответ на:
комментарий
от nnz
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум CONNLIMIT по типу траффика (2011)
- Форум поругайте iptables (2012)
- Форум iptables как ограничить запросы к серверу и добавить фильтр? (2016)
- Форум iptable - iptables: No chain/target/match by that name. (2012)
- Форум ограничить кол-во исходящих подключений к провайдеру на порт 25 ? (2014)
- Форум Iptables как настроить ограничение пакетов за единицу времени (2013)
- Форум [iptables] что запихнуть в iptables для публичной тачки? (2012)
- Форум DDoS или как защитить сервер / IP / канал (2015)
- Форум Вопрос IPTABLES ограничение запросов (2017)
- Форум iptables и VPS (2012)