是否可以在使用创建的以太网接口上设置最大客户端数量nmcli
?
示例:即使我添加网络交换机并连接 10 台设备,我也希望最多 2 台设备能够成功连接。
答案1
以太网不是这样工作的;以太网中没有“连接”;这是一个更高两层的概念。
因此,您可以尝试使防火墙的行为方式限制特定类型的活动,例如向一定数量的 IP 地址发送 TCP/IP 数据包的能力。这可能意味着编写超出我在 Linux 网络堆栈经验之外的守护进程或 BPF 脚本来监视客户端数量。
但是:什么是客户数量?
- IP 地址?您指的是 IPv4 还是 IPv6?每个人都可以为自己选择任意多个IP地址,而且事实上还有很多系统服务依靠在临时地址、自动配置地址或默认地址上。这既不是一个好的保护(我可以窃取当前拥有“津贴”的人的 IP 地址),也不是表面上防止拒绝服务(2 行 shell 代码在我的接口上给了我 10000 个 IP 地址,很好)晚上,邻居!)。
- 以太网 MAC 地址?与 IP 相同的问题,这些可以任意选择,特别是在有移动设备/无线访问的环境中,这些通常是随机的
- 已建立与服务的 TCP/IP 连接:现在我们正在讨论。您的服务本身可以控制这一点,并且可以在似乎只有服务本身清楚的情况下简单地拒绝连接!
老实说,这听起来像是应用层您试图在网络的更深层次解决的问题。但网络的更深层次从来就不是用于访问控制的。根本不这样做。无论您的客户端访问什么服务,都应使其具有身份验证和会话概念 - 如果最大会话数用尽,则简单地拒绝。