Как ограничить количество подключений к порту в linux?

Question

[jidckii]

Всем привет.
Собственно сабж.
Есть сервис, он крутится на определенном порту, к примеру 80.
Есть ли способ к примеру средствами iptables ограничить количество подключений к нему.
Т.е. если сейчас установлено 6 сессий(не важно с 1-го ip или с 6-ти), то 7-ой уже не давать подключаться и дропать. А как только их снова 5, то новую можно снова установить.

Answer 1

[Валентин]

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 -j DROP

Если для UDP это не прокатит, придется делать непосредственно через модуль conntrack

Comments

[jidckii]

Валентин
Вроде похоже на то, что мне нужно.
А не могли бы Вы поподробнее объяснить что к чему и что каждый ключ означает?
Спасибо.

[Валентин]

jidckii:
-I INPUT - цепочка правил INPUT
-p tcp - протокол TCP
--syn - установлен флаг SYN
--dport - dst порт
-m connlimit - используем модуль connlimit
--connlimit-above - параметр модуля, не больше количества подключений
-j DROP - отбросить пакеты

[jidckii]

Валентин: Хорошо, спасибо) В таком случае, почитаю, что за SYN и connlimit.
Попробую, если работает отпишусь )

[jidckii]

Забыл отписаться.
Все работает. получил именно то эффект, что и хотел !)

Answer 2

[Армянское Радио]

Проще это будет сделать средствами сервиса.
Для TCP - сервиса можно поискать решение с IPTABLES или с использованием xinetd. Второе даже проще:

service test
{
    instances = 10 # ограничение в 10 штук
    sock_type =     stream
    protocol =      tcp
    wait =          no
    user =          root
    server =        /home/me/bin/testsmpp        
    redirect =      127.0.0.1 8000
}

Для UDP - маловероятно, что что-то получится, так уж устроен UDP