[问题求助]问一个关于如何使用iptables中的limit选项的问题,请高手指教 [复制链接]

我使用iptables做了一个本机的防火墙,想用-m limit选项限制某些.用户过度使用服务器资源.,但发现一个问题,就是用.

-m lim.it l--.limit 10/m --limit-burst 20    美容

只能限制所有用户的访问,也就是说只要有一个用户(IP地址)用.户访问超过了--limit-burst的值,其它用户的访问也会同样受到影响,请问一否可以设置-m limit选项对单个IP地址进行检测? 也就是说.,只有当某个IP地址.访问超限.时,只对该IP进行限制,对其它IP还是能下颌访问? (当然,这个IP地址不是一个事先知道的固定IP地址) 就是要求-m limi.t规则对每一个访问的IP地址单独起作用。            杀毒

请问能否做得到？

[quote]原帖由 "platinum"]-s IP[/quote 发表：


-s IP 可能不行吧，因为我不是事先就想限制某些IP，根本不知道IP地址！只有当某个IP地址访问量过大了，才需要对其进行控制，也就是说这个IP是事先不知道的，怎么用-s IP呢？

我以为你要限制内网的IP
那你用connlimit，基于连接的限制

QUOTE:原帖由 "platinum" 发表：
我以为你要限制内网IP
那你用connlimit，基于连接的限制



多谢，不好意思再问一下，connlimit怎么用法？能具体一点吗？或者介绍一个地址也行。

QUOTE:This adds an iptables match which allows you to restrict the
number of parallel TCP connections to a server per client IP address
(or address block).

Examples:

# allow 2 telnet connections per client host
iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# you can also match the other way around:
iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# limit the nr of parallel http requests to 16 per class C sized
# network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 \
        --connlimit-mask 24 -j REJECT

不过和你的需求也不太像～

http://www.netfilter.org/patch-o-matic/pom-base.html#pom-base-connlimit

你可以参考这个
http://bbs.chinaunix.net/forum/viewtopic.php?t=505370

QUOTE:原帖由 "platinum" 发表：
你可以参考这个
http://bbs.chinaunix.net/forum/viewtopic.php?t=505370


谢谢，正在学习！不过我用的是系统自带的，也就是rpm安装，看来不行，非得源码装了。

connlimit好象与我的要求也还有一丁点差异，我不是要控制并发链接数，要控制的是一段时间内的累积数啊！

好像还真没有对每个未知IP的控制……