Здравствуйте! On Mon, Dec 12, 2005 at 04:22:09PM +0200, Alexey Kolyada wrote:
On Mon, 12 Dec 2005, Alexander Burnos wrote:
Здравствуйте!
On Mon, Dec 12, 2005 at 04:08:33PM +0200, Alexander Trotsai wrote:
patch-o-matic connlimit
Вроде бы connlimit использует conntrack. Т.е. если с какого-то адреса было сделано 100 коннектов, но они по каким-то причинам оборвались, то conntrack их все равно будет считать как ESTABLISHED и будет дальше отбивать коннекты с этого адреса (при условном лимите в 100), не смотря на то, что реальных 100 tcp-коннектов уже не будет.
Или нет? после некоего таймаута порядка минуты(точно не помню) - все придет в норму
Вообще по дефолту net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000 Т.е. 5 суток :) Я не знаю зачем такой безумный таймаут, но возможно есть какой-то тайный смысл, почему его не стоит особо менять? -- Alexander Burnos =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message