iptables limitam o número de conexões no sistema para ambos ipv4 ipv6

Question

iptables limitam o número de conexões no sistema para ambos ipv4 ipv6

#1 resposta do (3 votos)
#2 resposta do (1 votos)

1

Uma conexão é uma tupla de 5 (ip src / dst, porta src / dst, protocolo).
E quanto às diferentes conexões entre ipv4 e ipv6?

Se eu definir a regra iptables :

iptables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset

Limita as conexões tcp a 50.

E quanto às conexões ipv6 tcp? Eu deveria escrever também

ip6tables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset

?

Isso significa que posso ter conexões 100 tcp no geral? (50 ipv4 50 ipv6)?

Como isso funciona? Obrigado.

networking ipv6 iptables ipv4

por hudac 19.01.2017 / 13:07

2 respostas

1

Sim, isso significa que você pode ter 50 + 50 conexões.

por 19.01.2017 / 13:16

Tags networking ipv6 iptables ipv4

Conte o padrão e as linhas correspondentes simultaneamente Linux: usando uma rede virtual dentro de uma ponte

score 3 · Accepted Answer

Você terá 50 de cada conexão, pois iptables tratará apenas de ipv4 e ip6tables lidará com conexões ipv6. Eles não "somam", porque são gerenciados por ferramentas diferentes em cada versão do protocolo.

nftables , o "novo firewall" será capaz de lidar com os dois protocolos resumindo tudo? Não. Você terá a "mesma ferramenta" ( nft binary) para lidar com os protocolos de forma independente usando a palavra-chave rule : nft add rule ip6 ... e nft add rule ip ...

Como apontado nos comentários, o > nft_connlimit foi adicionada recentemente ao Linux 4.18, permitindo que você conte a soma ipv4 e ipv6 se você usar a palavra reservada inet enquanto cria regras.

Itens relacionados:

Serverfault: Como você define um limite de conexão máximo com nftables?