iptables限制系统中ipv4 ipv6的连接数

iptables限制系统中ipv4 ipv6的连接数

连接是一个 5 元组(ip src/dst、端口 src/dst、协议)。
ipv4 和 ipv6 之间的不同连接怎么样?

如果我定义规则iptables

iptables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset

它将 TCP 连接数限制为 50。

ipv6 tcp 连接怎么样?我也应该写吗

ip6tables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset

这是否意味着我总共可以有 100 个 tcp 连接? (50 个 ipv4 50 个 ipv6)?

它是如何工作的?谢谢。

答案1

每个连接将有 50 个,因为iptables仅处理 ipv4 连接,而ip6tables将处理 ipv6 连接。它们不会“总结”,因为它们在每个协议版本上由不同的工具管理。

“新防火墙”能够nftables同时处理这两种协议吗?不会。您将拥有“相同的工具”(nft二进制)来使用关键字独立处理协议rulenft add rule ip6 ...nft add rule ip ...

正如评论中指出的那样,nft_connlimitLinux 4.18 最近添加了扩展,允许您计算总和ipv4以及在创建规则时ipv6是否使用保留字。inet

相关内容:

答案2

是的,这意味着您可以拥有 50+50 个连接。

相关内容