Есть задача ограничить кол-во одновременных открытых tcp-соединений у клиентов находящихся за linux-роутером.
До меня было сделано так:
-i eth0 -p tcp -m connlimit --connlimit-above 99 --connlimit-mask 32 -j DROP
что не нравится:
периодически подскакивает load average на роутере; conntrack -F решает это.
есть мнение, что это вообще не работает.
итак, какая альтернатива connlimit есть в природе?
ограничивать кол-во SYN пакетов за единицу времени, имхо,не вариант.
Ответ на:
комментарий
от nnz
Ответ на:
комментарий
от brumalik
Ответ на:
комментарий
от true_admin
Ответ на:
комментарий
от brumalik
Ответ на:
комментарий
от ansky
Ответ на:
комментарий
от brumalik
Ответ на:
комментарий
от nnz
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум CONNLIMIT по типу траффика (2011)
- Форум поругайте iptables (2012)
- Форум Такое правило IPtables имеет право существовать ? (2013)
- Форум iptables как ограничить запросы к серверу и добавить фильтр? (2016)
- Форум Не работает connlimit (2013)
- Форум iptables SYN лимит с 1 IP (2018)
- Форум Блокировать больше, чем N одновременных входящих соединений с одного хоста (2013)
- Форум iptable - iptables: No chain/target/match by that name. (2012)
- Форум iptables connlimit не банит? (2012)
- Форум Строчку iptables перевести в ShoreWall (2024)