On Wed, May 02, 2007 at 10:27:13PM +0200, Benjamin RIOU wrote: > Salut ! > > Merci pour vos réponses. > > >> J'ai absolument besoin de controler le nombre de connexions par IP. > >L'ennui, c'est que comme son prédécesseur connlimit n'est toujours pas > >inclus dans le noyau standard... Pire, il n'est même plus inclus dans le > >patch-o-matic-ng, il faut le récupérer avec ./runme --download. Et la > >correspondance "recent" ne permet de compter que des événements comme > >les demandes de connexion, et pas les connexions encore établies. > > recent ne veut pas entendre parler de moi : > > iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent > --name overconnect --update --seconds 60 -j DROP > ceci passe. > > iptables -A FORWARD -m mac --mac-source 00:15:58:32:FF:85 -m recent > --hitcount 200 --seconds 60 --set --name overconnect -j DROP > ceci me répond : argument incorrect. > iptables -A FORWARD -m mac --mac-source xxxxxxx \ -m recent --set --name overconnect iptables -A FORWARD -m mac --mac-source xxxxxxx \ -m recent --rcheck --seconds 60 --hitcount 200 \ --name overconnect -j DROP iptables -A FORWARD -m mac --mac-source xxxxxxx \ -j ACCEPT Je fonctionne avec ce principe pour mon ftp et cela fonctionne bien. Cependant, j'ai un petit doute sur l'utilisation de la directive --set maintenant. Il va falloir mettre cela au clair. -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature