iptablesとのTCP接続の総数をグローバルに制限するにはどうすればよいですか?
TCP接続の総数がグローバル最大値に達すると、iptablesを備えたマシンからのインバウンドおよびアウトバウンド接続の両方を拒否する方法を理解するのに非常に苦労しています送信元または宛先ポートに関係なく、すべての送信元/宛先/ポートを含める必要があります。
これはiptablesで可能ですか?
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP
iptables -A OUTPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP
iptablesモジュール「connlimit」を使用して実行できます
/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset
例:
/sbin/iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT