Linux limita el número de conexiones a un solo puerto IP

En iptables, puede limitar el número de puertos conectados a la IP, lo que requiere el módulo connlimit de iptables. Por supuesto, debe prestar atención al número que limita, ya que puede haber acceso de usuarios de Internet Cafe, el valor predeterminado es No está instalado, por lo que primero debe instalar el módulo. A continuación se detallan todos los pasos de instalación: descargue el paquete de instalación y extráigalo

# wget ftp://ftp.netfilter.org/pub/patch-o-matic- Ng /snapshot /patch-o-matic-ng-20080214.tar.bz2 # wget ftp://ftp.netfilter.org/pub/iptables/iptables-1.4.0.tar.bz2 # tar xjf iptables-1.4.0 Tar.bz2 # tar xjf módulo de descarga patch-o-matic-ng-20080214.tar.bz2 connlimit

# cd /y hellip; /patch-o-matic-ng-20080214 # KERNEL_DIR = /usr /src /kernels /2.6.18-128.el5-x86_64 /IPTABLES_DIR = /usr /iptablestest /iptables-1.4.0 ./runme -Download con éxito descargado parche geoip externo condición parche externo con éxito descargado con éxito descargado parche IPMARK parche externo con éxito descargado externa ROUTE Descargado exitosamente parche externo connlimit Descargado exitosamente parche externo ADED IPP2P descargado con éxito parche externo ./patchlets/ipv4options El tiempo existe y no es externa existe ./patchlets/TARPIT y no es externa con éxito descargado el parche cuenta externa descargado correctamente pknock parche externo Hey! KERNEL_DIR no se establece. ¿Dónde está el núcleo Directorio de origen? [/Usr /src /linux] /usr/src/kernels/2.6.18-128.el5-x86_64 ¡Hey! IPTABLES_DIR no está configurado. ¿Dónde está su directorio de código fuente de iptables? [/Usr /src /iptables] /usr/iptablestest/iptables-1.4.0 definiciones &hellip Cargando patchlet; … … … … … …!. y hellip;. done Excel
prestaron Fuente árboles están listos para la compilación parche para aplicar connlimit kernel

# KERNEL_DIR = /usr /src /kernels /2.6.18-128.el5-x86_64 IPTABLES_DIR = /usr /iptablestest /iptables-1.4.0 ./runme connlimit Cargando definiciones patchlet … … … y hellip; … … … …. hecho y hellip; … — — — — — — — — — &Mdash; — — — — — — — — — — — – ¿Desea aplicar este parche [N /y /t /f /a /r /b /w /q /?] y ¡Excelente! Los árboles de origen están listos para compilarse. Aplique el parche aquí para seleccionar Sí. Compile el kernel

# cd /usr/src/kernels/2.6.18-128.el5-x86_64/# make oldconfig guiones HOSTCC HOSTCC scripts /kconfig /conf.o /kconfig /kxgettext.o HOSTCC scripts /kconfig /mconf.o HOSTCC scripts /kconfig /zconf.tab.o HOSTLD guiones scripts /kconfig /conf /kconfig /conf -o arch /i386 /kConfig * * Linux Kernel Configuración * y hellip; … ARP carga útil mangling (IP_NF_ARP_MANGLE) m Conexiones /IP apoyo partido límite (IP_NF_MATCH_CONNLIMIT) [N /m /?] (NEW) m y hellip [m /n /?]; … inclinar opciones connlimit recién añadidos, pregunte si la necesidad de construir el tiempo en el núcleo, el y " m " compilado como módulo (Nota: este menuconfig #make también se puede utilizar, seleccionar los parámetros del núcleo de red y ndash en la forma que aparece; > Opciones de red — > filtrado de paquetes de red (reemplaza a ipchains) — > I P: La configuración de Netfilter — > El soporte de coincidencia de límite de conexiones /IP se selecciona como un módulo o se compila en el kernel. Si no puede encontrar este elemento, el parche no ha sido exitoso.)

# make modules_prepare scripts /kconfig /conf -s arch /i386 /kConfig CHK incluir /Linux /version.h CHK incluir /Linux /scripts utsrelease.h HOSTCC /genksyms /scripts genksyms.o HOSTCC /genksyms /scripts HOSTCC lex.o /genksyms /parse.o HOSTLD guiones scripts /genksyms /scripts genksyms CC /scripts /empty.o MKELF mod /scripts /scripts HOSTCC elfconfig.h /scripts /file2alias.o HOSTCC mod /mod /modpost.o HOSTCC mod /mod /sumversion.o HOSTLD /mod /modpost copia de seguridad del archivo Makefile original, que contiene la compilación original de la información, no serán traducidos directamente

# mv net /ipv4 /netfilter /Makefile net /ipv4 /netfilter /Makefile.bak fotos: por la creación de un nuevo Makefile < pre lang = " golpe " > # vi net /ipv4 /netfilter /Makefile obj-m: = ipt_connlimit.oKDIR: = /lib /modules /$ (shell uname -r) /buildPWD: = $ (shell pwd) por defecto: $ (MAKE) -C $ (KDIR) M = $ (PWD) Los módulos compilan el módulo

# make M = net /ipv4 /netfilter /LD net /ipv4 /netfilter /built-in.o CC [M] net /ipv4 /netfilter /ipt_connlimit.o Módulos de construcción, etapa 2. MODPOST CC net /ipv4 /netfilter /ipt_connlimit.mod.o LD [M] net /ipv4 /netfilter /ipt_connlimit.ko módulo ko generada para copiar dirección de destino y establecer los permisos apropiados

# cp net /ipv4 /netfilter /ipt_connlimit.ko /lib /modules/2.6.18-128.el5/kernel/net/ipv4/netfilter/# chmod 744 /lib/modules/2.6.18-128.el5/kernel/net/ipv4/netfilter/módulo compilado

Pruebe y aplique el módulo

# depmod -a módulo de carga de conexión

# modprobe ipt_connlimit compruebe si la carga se realizó correctamente