Networking

如何全域限制使用 iptables 的 TCP 連接總數?

  • October 20, 2013

一旦 TCP 連接總數達到全域最大值,而不考慮源埠或目標埠,我很難弄清楚如何拒絕來自具有 iptables 的機器的入站*和出站連接。*必須包括所有來源/目的地/埠。

這可能與 iptables 嗎?

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP
iptables -A OUTPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP

您可以使用 iptables 模組“connlimit”來完成

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset

例子:

/sbin/iptables  -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

引用自:https://serverfault.com/questions/539954