linux限制端口连接数,iptables的connlimit功能(限制端口连接数)

最新推荐文章于 2025-07-20 18:07:10 发布
转载 最新推荐文章于 2025-07-20 18:07:10 发布 · 1.1k 阅读 · 1
文章标签:

#linux限制端口连接数

本文介绍如何使用iptables在Linux系统上限制特定端口的IP连接次数。通过补丁安装connlimit模块,实现对连接数的有效控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转自:

作者: Oracle+Linux专业技术门户

网友提出了一个这样问题,LINUX 如何限制某 端口的IP连接次数,记得前面写过文章,是通过apache模块的方式限制ip的最大连接数,可是如果要限制的端口很多,显然apache模块这个办法就不行了,于是提出了用iptables来限制,给出了一个iptables规则:

iptables -I INPUT -p tcp --dport 目标端口  -m connlimit --connlimit-above 10 -j REJECT

这个规则在没有载入任何iptables模块时,是不能用的,会报类似错误:

[root@localhost ~]# iptables -I INPUT -p tcp --dport 8000 -m connlimit --connlimit-above 4 -j REJECT

iptables: Unknown error 4294967295

这个错误表示,系统内核没有connlimit模块支持!因此,就需要将connlimit加入内核支持,也就是需要给内核打补丁,重新编译iptables和系统内核!

下面是详细操作过程

1:先在处下载patch-o- matic-ng补丁,

注意最新并且含有connlimit的补丁包好像是patch-o-matic-ng-20060725.tar.bz2,

之后的补丁包中都没有connlimit补丁;

2:然后下载iptables源代码

... .5-20060823.tar.bz2,

3:最后下载kernel源代码ftp://ftp.kernel.org/pub/linux/kernel/v2.6/,

编译2.4.x内核一般没有问题,2.6.11以下的似乎也没有什么问题,不过2.6.12开始打补丁时,会提示...的错误。

在打完补丁后使用connlimit模块时会报一个奇怪的错误

“connlimit match: invalid size 0!=16 iptables: Invalid argument”,

而且在编译内核模块时有一些警告"signed//unsigned comparision warnings",

不知道是什么原因,只好换一个低版本内核linux-2.6.15.tar.bz2。

由于redhat as4的内核默认没有 connlimit模块,所以要编译内核,在网上好像有不编译内核给iptables添加模块的办法,但我没成功,只好老老实实编译内核。

4:操作开始:

#cp patch-o-matic-ng-20060725.tar.bz2 iptables-1.3.5-20060823.tar.bz2 linux-2.6.15.tar.bz2 /usr/src/

#bunzip2 -d *.bz2

#tar xvf *.tar

#ln -s iptables-1.3.5-20060823 iptables

#ln -s linux-2.6.15 linux

#cd /usr/src/linux

#make mrproper

#make clean

#cd /usr/src/patch-o-matic-ng-20060725

#./runme connlimit

直接打补丁会报错,

需要修改/usr/src/patch-o-matic-ng- 20060725/patchlets/connlimit/linux-2.6.11/net/ipv4/netfilter/Makefile.ladd

文件,将

obj-$(CONFIG_IP_NF_MATCH_STATE) += ipt_state.o

改为

obj-$(CONFIG_IP_NF_MATCH_TOS) += ipt_tos.o

#./runme connlimit

#cd /usr/src/linux

#make menuconfig

注意:内核参数一定要将Networking-->Networking options --->Network packet filtering(replaces ipchains)--->IP: Netfilter Configuration --->Connections/IP limit match support 选为模块或编译进内核;如果你找不到这一项,那么刚才打补丁没有成功;如果你对多如牛毛的内核选项很烦,你可以用make oldconfig,

#make bzImage

#make modules

#make modules_install

#make install

编译完成后,可以开始编译iptables

#cd /usr/src/iptables

#make KERNEL_DIR=/usr/src/linux

#make install KERNEL_DIR=/usr/src/linux

#make install-devel

5:重启后,试一试命令

iptables -m connlimit -help

iptables -I INPUT -p tcp -m connlimit --connlimit-above 4 -j REJECT

iptables -L

如成功则补丁打成功了。

阅读(1341) | 评论(0) | 转发(0) |

Iptables防火墙connlimit模块扩展匹配规则
11
01-28 642
connlimit模块的作用是限制请求报文对特定服务的并发连接数限制的,例如Telnet服务,默认情况下没有并发连接数限制,可以允许n个客户端同时连接,如果应用了connlimit模块,可以对并发连接数进行限制。数据流入的操作,在INPUT链的filter表添加相应的规则。同时登陆两个ssh没问题,第三个时就提示无法连接了。案例:每个客户端主机仅允许同时对本机发起两个。
使用Iptables connlimit模块限制连接跟踪数的性能研究
07-07 784
限制namespace下的连接数,所以无法使用内核参数sysctl中的全局最大连接跟踪数nf_conntrack_max来做限制,于是决定采用iptablesconnlimit模块来做限制限制的是转发表,命令的样式是:iptables -I FORWARD -m connlimit --connlimit-above 1000 --connlimit-mask 0 -j REJECT --reject-with icmp-port-unreachable,在使用过程中发现系统的cpu占用经常占满,网络延
linux 0891端口,iptablesconnlimit功能限制端口连接数
weixin_35172715的博客
04-30 375
转自:作者: Oracle+Linux专业技术门户网友提出了一个这样问题,LINUX 如何限制端口的IP连接次数,记得前面写过文章,是通过apache模块的方式限制ip的最大连接数,可是如果要限制端口很多,显然apache模块这个办法就不行了,于是提出了用iptables限制,给出了一个iptables规则:iptables -I INPUT -p tcp --dport 目标端口-m...
iptables -m connlimit导致内存不足
最新发布
一口Linux的专栏
07-20 887
Udp 高频攻击导致slab kmalloc-64 持续申请,导致内存不足。A7低版本内核无该问题,MA35/AM62在kernel6版本上也无该问题,此问题只出在A7 kernel6上。 问题环境(kernel6.6) iptables在不同环境下的版本相同 2. 测试命令 删除规则与查看规则: 两条问题规则(-m connlimit ): 虚拟机对目标机使用不同间隔进行攻击: 通过如下命令可查看有问题时,可用内存下降, kmalloc-64 会持续增加 3. kernel4.14.98 (无问题) 此内
iptables利用connlimit模块限制同一IP连接数
weixin_34146986的博客
09-28 357
connlimit功能:  connlimit模块允许你限制每个客户端IP的并发连接数,即每个IP同时连接到一个服务器个数。  connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个IP发起的连接数。 connlimit参数:  --connlimit-above n    #限制为多少个  --connlimit-mask n     #这组主机的掩码,默认是connl...
iptables限制连接数(如sftp) 以及 谨防CC/DDOS攻击的配置 ( connlimit模块)
weixin_34311757的博客
12-21 1413
  之前在公司服务器上部署了sftp,用于上传业务系统的附件。后来由于程序连接问题,使的sftp连接数过多(最多时高达400多个sftp连接数),因为急需要对sftp的连接数做严格限制。操作记录如下: 启动sftp本机的iptables防火墙功能限制每个ip连接22端口(sftp连接端口即是ssh端口)最大为50个,当超过50后的连接数的流量就会被DROP掉! 同时iptables需要开放50...
IPTables 限制速率,设备数和请求连接数
e5pool的博客
03-12 2469
IPTables 是一个 Linux 内核的防火墙工具,可以用于设置和管理网络规则。
linux iptables 限制每个ip对每个端口最多同时建立20个TCP连接
08-13
要实现Linux iptables限制每个IP对每个端口最多同时建立20个TCP连接,可以使用iptables限制连接数模块connlimit。 首先,我们需要先加载connlimit模块。可以在终端中输入以下命令: ```shell sudo modprobe ipt_...
iptables(5)常用扩展模块iprange、string、time、connlimit、limit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 2318
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容。
Linux-iptables
gongwanzhang的博客
05-16 1006
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出,设定规则来决定哪些数据包可以被接受、拒绝或转发。
通过iptables限制sftp端口连接数(运维笔记)
09-02
本文档详细介绍了通过iptables限制sftp端口连接数的运维操作方法,以及预防CC/DDOS攻击的设置措施.在此分享,希望能帮助到有用到的朋友!
Linux对外连接端口限制
军说网事
06-30 6650
Linux对外连接端口限制
iptables使用ipt_connlimit限制连接数
weixin_33805992的博客
11-06 234
今天在回答一个网友关于使用iptables限制连接数的问题时,使用到了iptablesconnlimit参数。这个参数对应的iptables模块是ipt_connlimit。这个模块对应linux5.X版本没有静态的编译进内核,需要手动的执行modprobe ipt_connlimit命令把模板加入内核中去,然后在执行iptables命令。我测试的系统是centos 5.8...
Linux系统TCP连接数限制
l1o3v1e4ding的专栏
05-12 1688
1.1 查看Linux系统对同时打开文件数的硬限制:sysctl -a|grep file-max1.2 端口限制: 默认值 [32768,60999], 3 万左右个客户端连接。
Iptables扩展模块-connlimit 限制并发连接数
小楼一夜听春雨,深巷明朝卖杏花
10-20 1618
之前也学习过Nginx的限制,只不过它的限制是应用层面的限制,它还要将所有的请求经过网络层送到应用层做限制,而现在这个直接在内核层面做限制。如果请求的是目标的80端口,那么去调用connlimit模块,当超过2个连接并发数的时候那么就拒绝掉。示例使用脚本模拟DDOS攻击,然后检查网站是否异常,如果异常,则使用jptables限制并发连接数。可以看到有很多的状态为RECV状态,还没有被ACK掉,进入了半连接池队列。connlimit 扩展模块,限制每个客户端P地址到服务器的并行连接数
linux系统中指定端口连接数限制
weixin_34179762的博客
09-07 894
限制22端口只能有两个连接 [code] iptables -P INPUT DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 2 -j REJE...
linux限定ip的连接次数,linux下通过iptables限制同一IP连接数防CC/DDOS攻击
weixin_39541693的博客
05-04 1980
1.限制与80端口连接的IP最大连接数为10,可自定义修改。iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP2.使用recent模块限制同IP时间内新请求连接数,recent更多功能请参考:Iptables模块recent应用。iptables -A INPUT -p tcp --dport ...
iptables模块介绍:connlimit
pestd‘s blog
10-30 2721
http://www.cszhi.com/20120510/iptables-modules-connlimit.html iptables模块介绍:recent iptables模块介绍:limit connlimit模块允许你限制每个客户端ip的并发连接数,即每个ip同时连接到一个服务器个数。 connlimit模块主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值