Limitar connlimit por IP ( Se puderem tirar essa duvida agradeço ).

[easyBSD]

Tenho IP em classe C com varias sub-redes, como já disse em outro topico.

Tenho 125 sub-redes com mascara /30
E uma rede com mascara /24

Bom queria saber se usar desta forma eu estaria limitanto com eficiencia cada ip individualmente.

Ip Aliases. mascara /30

#iptables -t mangle -A POSTROUTING -p TCP -s 199.168.1.2 --dport 0:65535 -j CONNLIMIT

#iptables -t mangle -A POSTROUTING -p TCP -s 199.168.2.2 --dport 0:65535 -j CONNLIMIT

#iptables -t mangle -A POSTROUTING -p TCP -s 199.168.3.2 --dport 0:65535 -j CONNLIMIT

Rede mascara /24

#iptables -t mangle -A POSTROUTING -p TCP -s 192.168.10.10 --dport 0:65535 -j CONNLIMIT

#iptables -t mangle -A POSTROUTING -p TCP -s 192.168.10.11 --dport 0:65535 -j CONNLIMIT

#iptables -t mangle -A POSTROUTING -p TCP -s 192.168.10.12 --dport 0:65535 -j CONNLIMIT

#iptables -t mangle -A POSTROUTING -p TCP -s 192.168.10.13 --dport 0:65535 -j CONNLIMIT


Bloquear 15 conexão simultaneas

#iptables -t mangle -A CONNLIMIT -p TCP -m state ! --state RELATED -m connlimit --connlimit-above 15 -j DROP



Será que desta forma seria a forma correta para o uso com IP ALIASES e IPs Individuais ?


Obrigado a Todos

[alexandrecorrea]

acho que vai bloquear GERAL a 15 conexoes..

tem um parametro.. netmask eu acho.. q vc coloca.. ele trata ip por ip..

[easyBSD]

acho que vai bloquear GERAL a 15 conexoes..

tem um parametro.. netmask eu acho.. q vc coloca.. ele trata ip por ip..

iptables -t mangle -A FORWARD -s 192.168.10.10 -p tcp --syn --dport 1:65535 -m connlimit --connlimit-above 15 -j DROP

iptables -t mangle -A FORWARD -s 192.168.10.11 -p tcp --syn --dport 1:65535 -m connlimit --connlimit-above 15 -j DROP


iptables -t mangle -A FORWARD -s 199.168.1.2 -p tcp --syn --dport 1:65535 -m connlimit --connlimit-above 15 -j DROP



Será que desta forma vai ?

[alexandrecorrea]

usa a tabela filter !! a mangle so usa pra marcar pacotes !!

nao precisa especificar o --dport !!

[easyBSD]

usa a tabela filter !! a mangle so usa pra marcar pacotes !!

nao precisa especificar o --dport !!

Como ficaria então alexandrecorrea para bloquear por ip individuais ?

Assim ?

iptables -t filter -A FORWARD -s 192.168.10.10 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

iptables -t filter -A FORWARD -s 192.168.10.11 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP


iptables -t filter -A FORWARD -s 199.168.1.2 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

Obrigado pela ajuda

[alexandrecorrea]

sim.. a sintaxe eh a mesma.. faça um teste e veja se ta ok !