Re: Maximo de conexiones permitidas.
Manolo Díaz escribió:
El Tue, 30 Sep 2008 20:41:53 -0300
Julián Esteban Perconti <vh1988@yahoo.com.ar> escribió:
lo que no probé fue lo de:
NET
NETFILTER
NETFILTER_ADVANCED
NETFILTER_XT_MATCH_CONNLIMIT
No sé bien como es con esto, pero con modprobe no encontro ninguno de
los 4 modulos.
No son los módulos, son las opciones que tienes que activar a la hora
de configurar el núcleo para que sean compilados como módulos (o como
parte integrante del núcleo)
Lamentablemente no puedo recompilar el kernel, tengo debian
2.6.24-etchnhalf.1-486. De última puedo crear los paquetes .deb en otra
maquina mas rapida, en ese caso tendría que saber bien que es lo que
este modulo connlimit requiere en el kernel.
Saludos, Julian.
Entonces lo de arriba no te sirve en absoluto.
No lo tengo compilado como módulo, así que lo mejor que puedo hacer es
mirar los módulos de un núcleo 2.6.18 de Etch. "modinfo" dice lo
siguiente:
xt_conntrack depende de x_tables, ip_conntrack
ip_conntrack depende de nfnetlink
A ver si esto te sirve de ayuda. Un saludo.
Hola Manolo, al parecer tengo todos los modulos cargado, sin embargo al
intentar usar connlimit el STDOUT es la siguiente:
vectra:~# iptables -p tcp --syn --dport 80 -m connlimit
--connlimit-above 16 --connlimit-mask 24 -j REJECT
iptables v1.3.6: no command specified
Try `iptables -h' or 'iptables --help' for more information.
vectra:~# iptables -A INPUT -p tcp --syn --dport 23 -m connlimit
--connlimit-above 2 -j REJECT
iptables: Invalid argument
vectra:~# iptables -p tcp --syn --dport 80 -m connlimit
--connlimit-above 16 --connlimit-mask 24 -j REJECT
iptables v1.3.6: no command specified
Try `iptables -h' or 'iptables --help' for more information.
Estas 3 reglas son las que estan en el man iptables, no creo que este
mal la sintaxis.
a continuacion un lsmod:
vectra:~# lsmod
Module Size Used by
xt_connlimit 4744 0
nfnetlink 4888 0
xt_multiport 3200 3521
xt_limit 2688 3
xt_state 2560 13
ipt_MASQUERADE 3584 1
ipt_REJECT 4480 2
ipt_LOG 5888 3
iptable_nat 6916 1
nf_nat 17964 2 ipt_MASQUERADE,iptable_nat
iptable_filter 3072 1
nf_conntrack_ftp 8736 0
nf_conntrack_ipv4 16776 15 iptable_nat
nf_conntrack 60708 7
xt_connlimit,xt_state,ipt_MASQUERADE,iptable_nat,nf_nat,nf_conntrack_ftp,nf_conntrack_ipv4
xt_TCPMSS 4480 2
xt_tcpmss 2304 1
xt_tcpudp 3200 68
iptable_mangle 2816 1
ip_tables 12488 3 iptable_nat,iptable_filter,iptable_mangle
x_tables 13828 12
xt_connlimit,xt_multiport,xt_limit,xt_state,ipt_MASQUERADE,ipt_REJECT,ipt_LOG,iptable_nat,xt_TCPMSS,xt_tcpmss,xt_tcpudp,ip_tables
pppoe 12352 2
pppox 3980 1 pppoe
ipv6 230372 24
ppp_generic 24980 6 pppoe,pppox
slhc 6144 1 ppp_generic
dm_snapshot 16928 0
dm_mirror 20608 0
dm_mod 54724 2 dm_snapshot,dm_mirror
loop 16260 0
evdev 10880 0
parport_pc 26148 0
parport 33352 1 parport_pc
psmouse 36368 0
serio_raw 6660 0
rtc 12828 0
pcspkr 3072 0
floppy 54276 0
ext3 120712 6
jbd 39700 1 ext3
ide_disk 15488 8
ata_generic 7556 0
libata 145136 1 ata_generic
scsi_mod 141836 1 libata
piix 7428 0 [permanent]
generic 4484 0 [permanent]
ide_core 107224 3 ide_disk,piix,generic
3c59x 41768 0
mii 5248 1 3c59x
Se que es medio desprolijo este mail y esta fuera de las normas (se me
viene a la mente - de 80 caracteres por linea...., no se como saldra..
Bueno, es lo que tengo.
Reply to: