[问题求助]如何限制UDP的连接 [复制链接]

如何使用connlimit限制UDP的连接,现在的.P2P的在.线点播是越来越多,使服务器带宽有一半以上都是那个东西,只有看如何限制一下了.,贵请写一条规则,谢谢教育

iptables -I FORWARD -p tcp --syn  -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
iptables -I FORWARD -p! tcp   -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP

iptables -I FORWARD -p tcp --syn  -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
iptables -I FORWARD -p! tcp   -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP

UDP无连接!

QUOTE:原帖由 JohnBull 于 2006-5-15 16:18 发表
UDP无连接!

udp 在 netfilter 里面可以被 conntrack 的
能否根据这个特性来判断呢？

应该是不可以的
8个B udp头格式源端口、目的端口、长度和校验各为2B，没有状态标志，怎么跟踪

QUOTE:原帖由 bingosek 于 2006-5-15 16:40 发表
应该是不可以的
8个B udp头格式源端口、目的端口、长度和校验各为2B，没有状态标志，怎么跟踪

这是 netfilter 里面的 conntrack 机制
根据 saddr、daddr、source、dest、prototype 5 个元素组成的连接追踪表
即使是 UDP 协议，也一样有 NEW、ESTABLISHED、RELATED 等状态特征的
其中的 NEW 与 tcp 中每个 connection 最初的 syn 不同
因此才有
iptables -I INPUT -p tcp ! --syn -m state --state NEW -j DROP
复制代码
的写法
可以通过 awk '/udp/' /proc/net/ip_conntrack 来查看 connection table 中的 UDP 信息

更多信息可以参考： http://wiki.linuxquestions.org/wiki/Connection_tracking