-m connlimit --connlimit-above 100

Не прошло...

СТРОКА: # iptables -A FORWARD -m connlimit --connlimit-above 100

ДАЛА РЕЗУЛЬТАТ: iptables: Invalid argument

===========================================

Examples:

iptables -A FORWARD -m ipp2p --ipp2p -j MARK --set-mark 0x01

iptables -A FORWARD -p udp -m ipp2p --kazaa --bit -j DROP

iptables -A FORWARD -p tcp -m ipp2p --edk --soul -j DROP

ЕЩЕ HELP>>>

UDP v1.2.7a options: --source-port [!] port[:port] --sport ... match source port(s) --destination-port [!] port[:port] --dport ... match destination port(s)

MARK match v1.2.7a options: [!] --mark value[/mask] Match nfmark value with optional mask

CONNMARK match v1.2.7a options: [!] --mark value[/mask] Match nfmark value with optional mask

--bit [TCP&UDP] All known BitTorrent packets

Можно ограничить BitTorrent - размер таблицы NAT 1024 соединения - зависает...

match if the number of existing tcp connections is (not) above

забыл -p tcp ? :)

Не забыл - не знал

Спасибо, но.. Я Вас умоляю - предложите готовый вид строки Я в Линуксе слаб, К СОЖЕЛЕНИЮ...

Догадываясь - нечто надо схоже на:

iptables -A FORWARD -p tcp -m --bit connlimit --connlimit-above 100 -j DROP

ОТВЕТ:

iptables v1.2.7a: couldn't find mutch --bit

================================================

# iptables -A FORWARD -p tcp -m connlimit --connlimit-above 100 -j DROP

Такое, кажется, проглотило, но не tcp, а bit ограничивать надо. Если на то место ставлю bit -

ОТВЕТ:

iptables v1.2.7a: couldn't find mutch --bit

Или как обьщее количество соединений..?

У вас старые iptables, там connlimit только на tcp-соединения.

правильно будет iptables -A FORWARD -p tcp --syn -m connlimit --connlimit-above 100 -j DROP

другие варианты скорее всего у вас работать не будут - очень уж старая версия iptables у вас. попробуйте обновиться.

А через правило connmark?

Тем более, что скорость по разным типам трафика и IP благополучно управляется. КОЛИЧЕСТВО СОЕДИНЕНИЙ ВЫЧИТАЛ - ТОЖЕ МОЖЕТ.

«Добавлена возможность ограничивать кол-во одновременных соединений с компьютеров в сети через правило connmark. Пример: разрешить не более 2 telnet соединений на пользователя через маршрутизатор: iptables -A FORWARD -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j DROP»

->>> iptables сделан ввиде библиотеки и встроен в систему управления в качестве функции для загрузки iptables цепочек.

================== ИЗ Iptables -h: ==================

CONNMARK match v1.2.7a options: [!] --mark value[/mask] Match nfmark value with optional mask

IPP2P v0.8.2 options:

--ipp2p Grab all known p2p packets

--edk [TCP&UDP] All known eDonkey/eMule/Overnet packets

--dc [TCP] All known Direct Connect packets

--kazaa [TCP&UDP] All known KaZaA packets

--gnu [TCP&UDP] All known Gnutella packets

--bit [TCP&UDP] All known BitTorrent packets

--apple [TCP] All known AppleJuice packets

--winmx [TCP] All known WinMX

--soul [TCP] All known SoulSeek

--ares [TCP] All known Ares

EXPERIMENTAL protocols (please send feedback to: ipp2p@ipp2p.org) :

--mute [TCP] All known Mute packets

--waste [TCP] All known Waste packets

--xdcc [TCP] All known XDCC packets (only xdcc login) _________________________________ ВЕСЬ ХЕЛП Iptables -h НЕ ВЛАЗИТ_______

Текущий лимит..?

А как узнать установленое количество соединений..?

cat /proc/net/ip_conntrack | grep ... | wc -l

что-то типа того...

еще вроде есть софтина с одноименным названием «conntrack» :)