Quote Originally Posted by featZima View Post
Я пытаюсь понять сам, но пока не сильно получается... Команда, которую вы предложили работает только в сочетании с параметром -p tcp, то есть вот так
Code:
iptables -A FORWARD -p tcp udp -m state --state NEW,RELATED -m connlimit --connlimit-above 100 -j DROP
без указания протокола, или с указанием -p udp — пишем о неправильных аргументах... и это настораживает...
  • получается что модуль connlimit есть, так как работает для tcp
  • согласно Iptable Howto, и tcp и udp для трасировщика имеют состояние NEW

p.s. насколько я понял connlimit не работает с udp протоколом, а в этом вся и загвоздка... получается что логического соединения как бы нет, но запись в ip_conntrack создаётся)
Скажем так, на моём компе с линуксом приведённая мной команда работает. И даже вроде бы делает то, что нужно.
На роутере у меня нет модуля connlimit (прошивка 10 от Олега), поэтому команда не выполняется (Couldn't load match `connlimit':File not found).