>>> 此貼的回復 >> 數據包是有去有回的 能不能轉發,要看你是如何在 -P DROP 的情況下 -j ACCEPT 的了
>>> 此貼的回復 >> 謝謝你,幫我看下規則: iptables -F iptables -P FORWARD DROP iptables -I FORWARD -p tcp -m connlimit --connlimit-above 10 -j DROP iptables -I FORWARD -p udp -m connlimit --connlimit-above 2 -j DROP iptables -I FORWARD -s 192.168.10.0/24 -j ACCEPT 就這樣的,但是不能路由了,而當改成iptables -P FORWARD ACCEPT時就能路由
>>> 此貼的回復 >> 因為 TCP/IP 是雙向的,所以這樣就是回應時被阻擋。所以要考慮:
CODE:[Copy to clipboard]iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT 另外也許在 ftp 環境可能要搭配 ip_conntrack_ftp 掛入,可能會是:
CODE:[Copy to clipboard]iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT 這些提供參考。
>>> 此貼的回復 >> 還有一個問題 connlimit 只支持 tcp 協議
QUOTE: connlimit v1.3.5 options: [!] --connlimit-above n match if the number of existing tcp connections is (not) above n --connlimit-mask n group hosts using mask