Eu quero escrever as regras de proxy syn e connlimit. Eu quero enviar pacotes para syn proxy primeiro por causa do problema de desempenho.
Aqui está a amostra da regra.
#syn proxy rule
iptables -t raw -A PREROUTING -i eth1 -p tcp -m tcp --syn -j CT --notrack
iptables -t filter -A FORWARD -i eth1 -p tcp -m tcp -m state --state INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
iptables -t filter -A FORWARD -i eth1 -m state --state INVALID -j DROP
#connlimit rule
iptables -t filter -A FORWARD -i eth1 -p tcp -m tcp --syn -m connlimit --connlimit-above 100 -j DROP
O problema é que, como os pacotes syn (pacotes que abrem a conexão) não podem ir além da regra do proxy syn, eles não podem corresponder ao connlimit. Eu estou procurando uma maneira alternativa de escrever connlimit para que ele possa trabalhar com synproxy.
Eu estava usando a mesma regra (synproxy em uma bridge), mas percebi que a solicitação tcp normal não funcionaria, ou seja, depois de implementar as regras synproxy, todas as solicitações de sincronização foram bloqueadas. Eu tenho monitorado com o tcpdump. Gostaria de saber se as regras do synproxy funcionam como esperado?