有人试验成功过限制每个用户并发连接数的吗？

memory

rt。
想对局域网中每个用户的出口并发连接数，以达到限制对p2p软件的限制，也可以限制用户做代理。
谁要是有类似的应用，欢迎讨论。

supernatural

iptables有一个connlimit的target吧？

memory

楼上的，你试过吗？
我倒是试过，kernel提示一大堆错误后挂了。

sos999

很简单呀
-A FORWARD -p tcp -m connlimit --connlimit-above 50 -j DROP
你的服务挂了，可能是你没装好，现在一般内核字带的

memory

我就是按楼上的方法做的，弄完内核就崩了。
iptables的conntrack模块存在这么个问题，就是跟踪列表中总是有很多早已经不存在的连接，尤其是客户端使用过p2p软件，会留下一大堆这样的连接，即使客户端机器已经关闭，这些连接也不会消失，直到超时（默认5天）。如果控制并发连接数，这个问题将如何解决呀。

sos999

不关conntrack模块的事，内核里要有connlimit模块，有的发行版是带这个模块的，有的要重编译iptable
你可以单独insmod commlimit看看有什么信息，

memory

sos999兄可能没看明白我说的意思。
当用linux作网关进行地址转换的时，客户端上网时会在iptables的conntrack 跟踪列表中留下许多连接的记录，可通过cat /proc/net/ip_conntrack命令来查看。但有些时候，客户端的应用已经关闭，甚至是客户端已经关机，跟踪列表中仍然会有此客户端的相关记录，有时还会很多。如果commlimit通过统计conntrack的记录来工作的话，可定会有问题。

RAULNAN

有个模块可以实现这个功能。叫什么connlimit什么的吧。我试过。 :beat

faint

-m iplimit --iplimit-above和-m connlimit --connlimit-above差别在那里？

memory

connlimit已经代替了iplimit。