nmcli：限制活动连接数

Question

以太网不是这样工作的；以太网中没有“连接”；这是一个更高两层的概念。

因此，您可以尝试使防火墙的行为方式限制特定类型的活动，例如向一定数量的 IP 地址发送 TCP/IP 数据包的能力。这可能意味着编写超出我在 Linux 网络堆栈经验之外的守护进程或 BPF 脚本来监视客户端数量。

但是：什么是客户数量？

IP 地址？您指的是 IPv4 还是 IPv6？每个人都可以为自己选择任意多个IP地址，而且事实上还有很多系统服务依靠在临时地址、自动配置地址或默认地址上。这既不是一个好的保护（我可以窃取当前拥有“津贴”的人的 IP 地址），也不是表面上防止拒绝服务（2 行 shell 代码在我的接口上给了我 10000 个 IP 地址，很好）晚上，邻居！）。
以太网 MAC 地址？与 IP 相同的问题，这些可以任意选择，特别是在有移动设备/无线访问的环境中，这些通常是随机的
已建立与服务的 TCP/IP 连接：现在我们正在讨论。您的服务本身可以控制这一点，并且可以在似乎只有服务本身清楚的情况下简单地拒绝连接！

老实说，这听起来像是应用层您试图在网络的更深层次解决的问题。但网络的更深层次从来就不是用于访问控制的。根本不这样做。无论您的客户端访问什么服务，都应使其具有身份验证和会话概念 - 如果最大会话数用尽，则简单地拒绝。

Answer 1

以太网不是这样工作的；以太网中没有“连接”；这是一个更高两层的概念。

因此，您可以尝试使防火墙的行为方式限制特定类型的活动，例如向一定数量的 IP 地址发送 TCP/IP 数据包的能力。这可能意味着编写超出我在 Linux 网络堆栈经验之外的守护进程或 BPF 脚本来监视客户端数量。

但是：什么是客户数量？

IP 地址？您指的是 IPv4 还是 IPv6？每个人都可以为自己选择任意多个IP地址，而且事实上还有很多系统服务依靠在临时地址、自动配置地址或默认地址上。这既不是一个好的保护（我可以窃取当前拥有“津贴”的人的 IP 地址），也不是表面上防止拒绝服务（2 行 shell 代码在我的接口上给了我 10000 个 IP 地址，很好）晚上，邻居！）。
以太网 MAC 地址？与 IP 相同的问题，这些可以任意选择，特别是在有移动设备/无线访问的环境中，这些通常是随机的
已建立与服务的 TCP/IP 连接：现在我们正在讨论。您的服务本身可以控制这一点，并且可以在似乎只有服务本身清楚的情况下简单地拒绝连接！

老实说，这听起来像是应用层您试图在网络的更深层次解决的问题。但网络的更深层次从来就不是用于访问控制的。根本不这样做。无论您的客户端访问什么服务，都应使其具有身份验证和会话概念 - 如果最大会话数用尽，则简单地拒绝。

相关内容