怎么在iptables中添加connlimit模块

怎么在iptables中添加connlimit模块？针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

注：2.6.23以前的内核版本默认不支持 connlimit
推荐规则

iptables -A INPUT -p tcp -m tcp -m connlimit --dport 80 --tcp-flags SYN,ACK,FIN,RST SYN -j DROP --connlimit-above 32 --connlimit-mask 32

如果/var/logs/message出现

ipt_connlimit: Oops: invalid ct state ?

在这条规则前面加一条
iptables -A INPUT -m conntrack -j DROP --ctstate INVALID 

阻断非法数据包
查看效果
iptables -n -L -v |grep conn 

17479 1033K DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 flags:0x17/0x02 #conn/32 > 32

关于怎么在iptables中添加connlimit模块问题的解答就分享到这里了，希望以上内容可以对大家有一定的帮助，如果你还有很多疑惑没有解开，可以关注亿速云行业资讯频道了解更多相关知识。