由于某些原因,我们的互联网提供商对我们的专用网络中托管的计算机与互联网之间同时打开的连接数量进行了限制,约为 4000 个同时连接。 (具体来说,它们的限制来自于同时允许的 NAT 会话数量)。
我们无法访问互联网提供商的路由器,也不是关于这个限制的状态或者我们离最大限制有多近,但是当达到限制时,基本上内部机器有一个非常慢互联网接入(如果可以的话),我们必须花费数小时与提供商的热线联系以说服他们重新初始化该表。
我想在我们这边设置同样的限制,这样我们就可以密切关注它的演变,实施更小的限制,这样我们就不必再调用它们,并希望保持每个人的连接顺利。
我手头有一台 Linux 机器,配置为网桥(带有 2 个网络接口)和/或 RouterOS 6 路由器,位于我们的内部专用网络和互联网提供商提供的路由器之间(两者都是可选的,我只是想看看有什么将是我目前最方便的配置):
INTERNET
^
|
|
+-------+------+
| Cisco Router |
+-------+------+
|
|
|
+-----+----+
| RouterOS |
+-----+----+
|
|
|
+-------+------+
| Linux Bridge |
+-------+------+
+------------+----^ ^ ^-----+-------------+
| | | | |
+---+---+ +----+--+ +---+---+ +--+----+ +----+--+
| Clt 1 | | Clt 2 | | Clt 3 | | Clt 4 | | Clt 5 |
+-------+ +-------+ +-------+ +-------+ +-------+
(目前我们有60多个“客户端”,包括计算机、IP电话、服务器、虚拟机等)
很容易找到有关如何使用iptables或限制服务器上的流量带宽或连接的文档,tc但我找不到太多关于同时连接数。据我了解,这将是控制conntrack网桥或内部路由器的-ing系统,并在达到限制时阻止新的连接,但我找不到任何有关如何做到这一点的信息。
我有兴趣获得一些有关 Linux 解决方案的指导,我可以尝试将其转换为 RouterOS,因为它可能更普遍地适用于其他配置。
有关更多详细信息:
- 内部网络位于 192.168.101.0/24 子网内
- 网桥和 RouterOS 路由器机器都有来自该子网的 IP 地址
- 互联网提供商路由器正在运行 DHCP 服务器,并且其专用 IP 地址 (192.168.101.254) 被配置为通往互联网的默认路由
- 我们可以对互联网提供商路由器做的唯一事情就是重新启动它并调整网络电缆:)