iptables限制了两个ipv4 ipv6在系统中的连接数

Question

连接是一个5元组(ip src/dst、端口src/dst、协议)。

那么ipv4和ipv6之间的不同连接呢？

如果我定义了iptables规则：

iptables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset

它将tcp连接限制为50。

ipv6 tcp连接呢？我也要写吗？

ip6tables -A INPUT -p tcp -m connlimit --connlimit-above 50 -j REJECT --reject-with tcp-reset

？

这是否意味着我可以拥有100个tcp连接？(50 ipv4 50 ipv6)？

它怎麽工作?谢谢。

Answer 1

每个连接有50个，因为iptables只处理ipv4，ip6tables将处理ipv6连接。它们不会“加起来”，因为它们由每个协议版本上的不同工具管理。

nftables --“新防火墙”--是否能够处理两种总结所有内容的协议？不是的。您将使用“相同的工具”(nft二进制)独立地使用rule关键字：nft add rule ip6 ...和nft add rule ip ...来处理协议。

正如注释中指出的那样，nft_连接极限扩展最近被添加到Linux4.18中，如果在创建规则时使用保留字inet，则可以计算sum、ipv4和ipv6。

相关资料：

• 服务器故障:如何使用nftable设置最大连接限制？

Answer 2

是的，这意味着您可以拥有50+50连接。