iptables connlimit инициировавший неожиданно
Все это хорошо работает, но я хотел бы знать больше о том, как определяют, какой это будет, когда оба будут активны.
Для каждого сетевого интерфейса существует связанное число, названное метрикой, когда маршруты создаются для того интерфейса, они используют ту метрику для маршрута.
Когда система должна отправить пакет и должна решить, как направить пакет, это консультируется с таблицей маршрутизации, работающей через маршруты от самого определенного до конкретного арендного договора. Каждый раз, когда это находит два маршрута идентичного specicifity, это будет использовать метрику маршрута для решения который маршрут использовать.
См. также:
- Объяснение функции Automatic Metric маршрутов Протокола Интернета - http://support.microsoft.com/kb/299540
- Как изменить обязательный порядок сетевых адаптеров в Windows XP и в Windows 2000 - http://support.microsoft.com/kb/894564
Как выбрать который NIC использовать для веб-перемещения.
Если Вы спрашиваете, можно ли установить маршруты под окнами для выбора маршрута тем, какой протокол (http, ssh, и т.д.) Вы используете, то я должен сказать Вам, что это не возможно в соответствии с Windows. Необходимо было бы установить маршрутизатор, который поддерживает основанную на политике маршрутизацию. Практическое руководство LARTC имеет очень хорошее обсуждение того, как сделать это в соответствии с Linux.
Вы, вероятно, хотите recent нет connlimit.
Вот пример от одного из моих хостов, который ограничивает соединения SSH:
iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_Brute_Force
iptables -A SSH_Brute_Force -m recent --set --name SSH --rsource
iptables -A SSH_Brute_Force -m recent ! --update --seconds 120 --hitcount 5 --name SSH --rsource -j RETURN
iptables -A SSH_Brute_Force -m recent --update --name SSH --rsource
iptables -A SSH_Brute_Force -p tcp -j DROP
Или:
- Только пакеты SSH были уже выбраны для записи в цепочку
- Присвойте соединения с недавней очередью "SSH"
- Установите 120 вторых тайм-аутов и максимум пяти новых соединений в то время, возвратите звонящие цепочечные сессии, которые не должны быть ограничены (называющий цепочку, затем позволяет хорошим хостам),
- Обновите список соединения
- Пакет отбрасывания
-
1Ваши правила привели меня к этому сайту: hostingfu.com/article/… , который, кажется, имеет немного более четкие правила. I' ll читают страницу справочника, но возражают кратко объяснять, что делают Ваши правила? – neoice 30 October 2009 в 10:05
Когда правило инициировано, Вы видите открытые соединения от хоста монитора в netstat?
Что относительно в/proc/net/ip_conntrack на маршрутизаторе?
ISTR, что connlimit на самом деле ограничивает все соединения, которые поражают это правило, и это - очень общее правило. Число повышается к 50 должным к другим соединениям, проходящим маршрутизатор?
Как насчет того, чтобы добавить отладку управляют для определения то, что на самом деле происходит:
-I FORWARD -p tcp --syn -s [MONITOR] -j LOG --log-prefix "MONITOR CONNECT: " --log-level debug
-
1/proc/net/ip_conntrack показывает мой IP монитора и другой адрес это I' ve, ранее идентифицированный как " проблема " таким образом, это кажется, что мое правило iptables является на самом деле неправильным? Я не возражаю, если каждый источник может только иметь 50 соединений, но моя цель НЕ состоит в том, чтобы ограничить сервер 50 общими соединениями. к сожалению, я не думал для проверки netstat до окончания I' d восстановил все. его никакая забава, получающая SMS, не предупреждает в середине ночи. – neoice 10 October 2009 в 08:38