使用ipt_connlimit限制同一并发
Posted 罗夏
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用ipt_connlimit限制同一并发相关的知识,希望对你有一定的参考价值。
xt_connlimit(别名ipt_connlimit)
一.Centos5.8系统
需要手动的执行modprobe ipt_connlimit命令把模板加入内核中去.
先查看
#lsmod |grep xt
如未找到xt_connlimit
则执行
#modprobe ipt_connlimit
查看xt_connlimit信息:
#modinfo xt_connlimit
二.Centos6.X
已经包含到了内核中,不需要手动添加了.
三.规则配置示例:
connlimit参数:
--connlimit-above n #限制为多少个
--connlimit-mask n #这组主机的掩码,默认是connlimit-mask 32 ,即每个IP.
限制同一IP同时最多100个http连接(默认是B类IP)
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
或
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit ! --connlimit-above 100 -j ACCEPT
只允许每组C类IP同时100个http连接
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 --connlimit-mask 24 -j REJECT
限制某IP最多同时100个http连接
iptables -A INPUT -s 222.222.222.222 -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j REJECT
限制每IP在一定的时间(比如60秒)内允许新建立最多100个http连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 100 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
以上是关于使用ipt_connlimit限制同一并发的主要内容,如果未能解决你的问题,请参考以下文章