连接是一个 5 元组(ip src/dst、端口 src/dst、协议)。
ipv4 和 ipv6 之间的不同连接怎么样?
如果我定义规则iptables
:
iptables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset
它将 TCP 连接数限制为 50。
ipv6 tcp 连接怎么样?我也应该写吗
ip6tables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset
?
这是否意味着我总共可以有 100 个 tcp 连接? (50 个 ipv4 50 个 ipv6)?
它是如何工作的?谢谢。
答案1
每个连接将有 50 个,因为iptables
仅处理 ipv4 连接,而ip6tables
将处理 ipv6 连接。它们不会“总结”,因为它们在每个协议版本上由不同的工具管理。
“新防火墙”能够nftables
同时处理这两种协议吗?不会。您将拥有“相同的工具”(nft
二进制)来使用关键字独立处理协议rule
:nft add rule ip6 ...
和nft add rule ip ...
正如评论中指出的那样,nft_connlimitLinux 4.18 最近添加了扩展,允许您计算总和ipv4
以及在创建规则时ipv6
是否使用保留字。inet
相关内容:
答案2
是的,这意味着您可以拥有 50+50 个连接。