... *100* \- примерное количество пользователей, которые используют ip адреса из подсети 192.0.2.0/24 *300* \- примерное количество tcp и udp conntrack сессий на одного из этих абонентов При необходимости можно создавать правила для конкретных ip (абонентов), указывая после параметра "-s" ip без маски Важно соблюдать последовательность правил в цепочке - условия с connlimit вверху, DROP внизу. Если у абонентов белые адреса, то еще нужно добавить также команду: {code} iptables -t mangle -I state_new -d 192.0.2.0/24 -m connlimit ! --connlimit-above $((300*100)) --connlimit-mask 32 -j RETURN iptables -t mangle -A state_new -d 192.0.2.0/24 -j DROP {code} Для применения изменений выполните команду (*Перезагрузка не потребуется*): {code} /usr/local/ics/bin/ics_tune.sh firewall.sh {code} Если файл не пустой, то старое содержимое оставить нетронутым и добавить в любое место файла основной условный блок из примера выше.
|