Нужна помощь на iptables. Кто может помочь?

Question

[MisterXGYT]

Как можно 701 порта первый два неопределённого IP адреса разрешить доступ остальные блокируют.
И 1 минут спустя это правило автоматически удаляется и снова 3 и остальные ип адрес блокируется. Как этого делать помогите пожалуйста!
Это делается iptables.

701 порта можна только два подключения. Это нужно для shadowsock vpn сервер. Я создал 701 порта один впн сервер а него нужно только два подключения, другие не нужно. Я создаю сервер там 20 подключения. Я хочу была только 2. Это два должна быть первым 2 подключённым.


Он должен быть такой только 2 пользователь.

А не такой:
Правила должны автоматически блокировать 3 и остальные.
Даже могу платить деньги за решение. Пишите на телеграм @ShadowsockTM

Comments

[Strabbo]

Ничего не понятно, но очень интересно !

[CityCat4]

Русский явно не родной. Братан, ты хоть на английский переведи, если русским не владеешь, что ли, непонятно же нихрена!

[Максим Гришин]

*попытка использования телепатии*
Автор, похоже, хочет, чтобы новых подключений к адресу на порт 701 могло быть не более двух в минуту. Это кстати выполнимо на iptables через limit.

[MisterXGYT]

701 порта можна только два подключения. Это нужно для shadowsock vpn сервер. Я создал 701 порта один впн сервер а него нужно только два подключения, другие не нужно. Я создаю сервер там 20 подключения. Я хочу была только 2. Это два должна быть первым 2 подключённым.

[MisterXGYT]

CityCat4, Я писал только, что должно делать правила.

Answer 1

[Николай Турнавиотов]

Пожалуйста, перепишите вопрос более корректно. скорее всего вам надо что-то более "умное", вроде fail2ban, или что-то своё на shell скрипте + штатный планировщику

Comments

[MisterXGYT]

Да нужно умные блокировшик только первое 2 ip adres разрешит доступ остальные блокировать. И зто правила надо обновлять каждый 60 секунд. Разрешит только первое неопределённое 2 ip adres нужное порта.

Answer 2

[Максим Гришин]

Примерно так:

iptables -A INPUT -m limit --limit 2/min -p tcp --dport 701 --syn -j ACCEPT

Работать будет корректно, если политика по умолчанию на INPUT равна DROP или в конце списка существует REJECT-правило, чтобы отбивать новые соединения, превышающие заданный limit. Детали по использованию модуля limit ТУТ.

Апд: ему надо, чтобы "всего" активных соединений на порт было 2 или меньше. Это решается с помощью модуля connlimit, примерно так:

iptables -I INPUT 1 -m tcp --syn --dport 701 -m connlimit --connlimit-mask 0 --connlimit-above 2 -j REJECT

Здесь 2 - предел одновременного количества соединений, а 0 - применение ограничения на все вообще IP-адреса (по умолчанию проверяются только соединения от одного хоста). Для работы требуется, чтобы новые подключения пропускались ПОСЛЕ этого правила, поэтому написал вставить правило в начало таблицы.

Comments

[MisterXGYT]

Не работает. Этого порта подключается 16 подключения. Мне нужно только 2 навсегда. Они должны быть первым подключённым.

[Максим Гришин]

А если тебе надо, чтобы было 2 подключения *всего*, это надо было написать отдельно, а то нагородил-то, минуты какие-то... Это тоже можно сделать, как оказывается.

[MisterXGYT]

Максим Гришин, поможете ?

[Максим Гришин]

MisterXGYT, обновил ответ.

[MisterXGYT]

Что делат надо?

[Максим Гришин]

Лицопальма. Читать документацию по iptables, почему нельзя вставить перед первым правилом, если правил в цепи ноль.