On Wed, May 02, 2007 at 10:27:13PM +0200, Benjamin RIOU wrote: > Salut ! > > Merci pour vos réponses. > > >> J'ai absolument besoin de controler le nombre de connexions par IP. > >L'ennui, c'est que comme son prédécesseur connlimit n'est toujours pas > >inclus dans le noyau standard... Pire, il n'est même plus inclus dans le > >patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la > >correspondance "recent" ne permet de compter que des événements comme > >les demandes de connexion, et pas les connexions encore établies. > > recent ne veut pas entendre parler de moi : > > iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent > --name overconnect --update --seconds 60 -j DROP > ceci passe. > > iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent > --hitcount 200 --seconds 60 --set --name overconnect -j DROP > ceci me répond : argument incorrect. >
iptables -A FORWARD -m mac --mac-source xxxxxxx \
-m recent --set --name overconnect
iptables -A FORWARD -m mac --mac-source xxxxxxx \
-m recent --rcheck --seconds 60 --hitcount 200 \
--name overconnect -j DROP
iptables -A FORWARD -m mac --mac-source xxxxxxx \
-j ACCEPT
Je fonctionne avec ce principe pour mon ftp et cela fonctionne bien.
Cependant, j'ai un petit doute sur l'utilisation de la directive --set
maintenant. Il va falloir mettre cela au clair.
--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
signature.asc
Description: Digital signature
