限制單個IP並發TCP連接的方法適應於保護Linux上的各種TCP服務,使用iptables中patch-o-matic中iplimit補丁來實現,對各種TCP服務比較通用。
做法: 配置Linux核心,使用2.4.20,並使用www.netfilter.org中patch-o-matic中的 base補丁中的iplimit。編譯配置安裝新核心。 使用www.netfilter.org的 iptables 1.2.8,安裝到系統中。
示例: 1 限制連往本機的telnet單個IP並發連接為2個,超過的連接被拒絕: iptables -I INPUT -p tcp --dport 23 -m iplimit --iplimit-above 2 -j REJECT 2 限制連往本機的web服務,1個C段的IP的並發連接不超過100個,超過的被拒絕: iptables -I INPUT -p tcp --dport 80 -m iplimit --iplimit-above 100 --iplimit-mask 24 -j REJECT