目標端口 -m connlimit --connlimit-above 10 -j
REJECT
這個規則在沒有載入任何iptables模塊時,是不能用的,會報類似錯誤:
[root@localhost ~]# iptables -I
INPUT -p tcp --dport 8000 -m connlimit --connlimit-above 4 -j
REJECT
iptables: Unknown error 4294967295
這個錯誤表示,系統內核沒有connlimit模塊支持!因此,就需要將connlimit加入內核支持,也就是需要給內核打補丁,重新編譯iptables和系統內核!
下面是詳細操作過程
1:先在parision warnings",
不知道是什麽原因,只好換壹個低版本內核linux-2.6.15.tar.bz2。
由於redhat as4的內核默認沒有
connlimit模塊,所以要編譯內核,在網上好像有不編譯內核給iptables添加模塊的辦法,但我沒成功,只好老老實實編譯內核。
4:操作開始:
#cp
patch-o-matic-ng-20060725.tar.bz2 iptables-1.3.5-20060823.tar.bz2
linux-2.6.15.tar.bz2 /usr/src/
#bunzip2 -d
*.bz2
#tar xvf
*.tar
#ln -s
iptables-1.3.5-20060823 iptables
#ln -s
linux-2.6.15 linux
#cd
/usr/src/linux
#make
mrproper
#make
clean
#cd
/usr/src/patch-o-matic-ng-20060725
#./runme
connlimit
直接打補丁會報錯,
需要修改/usr/src/patch-o-matic-ng-
20060725/patchlets/connlimit/linux-2.6.11/net/ipv4/netfilter/Makefile.ladd
文件,將
obj-$(CONFIG_IP_NF_MATCH_STATE) += ipt_state.o
改為
obj-$(CONFIG_IP_NF_MATCH_TOS) += ipt_tos.o
#./runme connlimit
#cd
/usr/src/linux
#make
menuconfig
註意:內核參數壹定要將Networking-->Networking options
--->Network packet filtering(replaces
ipchains)--->IP: Netfilter Configuration
--->Connections/IP limit match support
選為模塊或編譯進內核;如果妳找不到這壹項,那麽剛才打補丁沒有成功;如果妳對多如牛毛的內核選項很煩,妳可以用make
oldconfig,
www.ixdba.net
#make bzImage
#make
modules
#make
modules_install
#make
install
編譯完成後,可以開始編譯iptables
#cd
/usr/src/iptables
#make
KERNEL_DIR=/usr/src/linux
#make install KERNEL_DIR=/usr/src/linux
#make install-devel
5:重啟後,試壹試命令
iptables -m connlimit -help
iptables -I INPUT -p tcp -m connlimit --connlimit-above 4 -j
REJECT
iptables -L
如成功則補丁打成功了。