论坛风格切换切换到宽版
发帖 回复
返回列表
  • 854阅读
  • 7回复

[问题求助]iprange a.b.c.d-a.b.c.d 表示这一段地址还是分别表示每一个包含的地址? [复制链接]

 上一主题 下一主题
离线qiusibo.
初中三年级
 
发帖
2049
C币
-559669
威望
386
贡献值
3
银元
0
铜钱
4557
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01
iprange.  a.b..c.d-a.b.c.d 表示这一段地址还是分别表示每一个包含的地址?              乙肝

例. iptables -A  -m iprange --src-range 172.16.1.10-172.16.16.1 .-m li.mit --limit 300/second -j ACCEPT    外汇
表示172.16.1.10-172.16..16.1这.段地址每秒一共匹配300个数据包[成人用品]
还是表示172.16.1.10-172.16.16.1地址中.的每一个ip 分别匹配300个.数据包?.
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线flyworld.
初中三年级
发帖
1996
C币
-198913
威望
351
贡献值
1
银元
-1
铜钱
4402
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
Re:iprange


QUOTE:原帖由 hqpp 于 2008-6-13 20:39 发表
iprange  a.b.c.d-a.b.c.d 表示这一段地址还是分别表示每一个包含的地址?
例 iptables -A  -m iprange --src-range 172.16.1.10-172.16.16.1 -m limit --limit 300/second -j ACCEPT
表示172.16.1.10-172.16.16.1这段地址每秒一共匹配300个数据包
还是表示172.16.1.10-172.16.16.1地址中的每一个ip 分别匹配300个数据包?


我想 IT 人員應該需要有實驗精神,所以鼓勵您自己測試一下,希望你把成果分享給大家。

--
回复
举报
离线haikung.
初中三年级
发帖
1977
C币
-152724
威望
335
贡献值
1
银元
-2
铜钱
4311
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
Re:iprange
应该是每IP。
回复
举报
离线神仙姐姐.
初中三年级
发帖
2043
C币
-235292
威望
375
贡献值
1
银元
-3
铜钱
4576
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
Re:iprange
另外給一些資訊另外也 hashlimit 這 match extension:

   hashlimit

       This patch adds a new match called 'hashlimit'.  The idea is to have something like 'limit',

       but either per destination-ip or per (destip,destport) tuple.



       It gives you the ability to express



               '1000 packets per second for every host in 192.168.0.0/16'



               '100 packets per second for every service of 192.168.1.1'



       with a single iptables rule.



       --hashlimit rate

              A rate just like the limit match



       --hashlimit-burst num

              Burst value, just like limit match



       --hashlimit-mode dstip,srcip,dstport,srcport

              A comma-separated list of objects to take into consideration



       --hashlimit-name foo

              The name for the /proc/net/ipt_hashlimit/foo entry



       --hashlimit-htable-size num

              The number of buckets of the hash table



       --hashlimit-htable-max num

              Maximum entries in the hash



       --hashlimit-htable-expire num

              After how many miliseconds do hash entries expire



       --hashlimit-htable-gcinterval num

              How many miliseconds between garbage collection intervals
复制代码

--

[ 本帖最后由 kenduest 于 2008-6-13 22:31 编辑 ]
回复
举报
离线58008839.
初中三年级
发帖
1973
C币
-235726
威望
381
贡献值
1
银元
0
铜钱
4410
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
Re:iprange
但是我测试 好象-m iprange是表示的着一段ip
同样是限制速度 我用
iptables -A  -d 172.16.16.1 -m limit --limit 300/second -j ACCEPT
可以得到预想的结果 但是一用-m iprange把整个网络放进去 就不行 网速瞬间掉下去

所以我很疑惑
回复
举报
离线frt0502.
初中三年级
发帖
2022
C币
-132196
威望
355
贡献值
1
银元
-2
铜钱
4484
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
Re:iprange


QUOTE:原帖由 hqpp 于 2008-6-13 22:28 发表
但是我测试 好象-m iprange是表示的着一段ip
同样是限制速度 我用
iptables -A  -d 172.16.16.1 -m limit --limit 300/second -j ACCEPT
可以得到预想的结果 但是一用-m iprange把整个网络放进去 就不行 网速 ...


看起來是 global ? 那您改用 hashlimit 看看 ?

--
回复
举报
离线eyes7790.
初中三年级
发帖
2083
C币
-60413
威望
403
贡献值
1
银元
-2
铜钱
4626
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
Re:iprange


QUOTE:原帖由 ssffzz1 于 2008-6-13 22:09 发表
应该是每IP。

是总共的
每个 IP 应该用 hashlimit 模块
而且 iprange 包含了 172.16.1.255 和 172.16.2.0 这样的不一定是合法的 IP
回复
举报
离线蓝雪.
初中二年级
发帖
1830
C币
-236135
威望
324
贡献值
1
银元
-1
铜钱
4045
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
Re:iprange
哦,受教了。
以前一只以为是针对IP的。
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个