Мне довольно сложно понять, как ОТКЛОНИТЬ оба входящих и исходящие соединения с машины с iptables после того, как общее количество TCP-соединений достигнет глобального максимума без учета порта источника или назначения. Все источники / назначения / порты должны быть включены.
Возможно ли это с помощью iptables?
iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP
iptables -A OUTPUT -p tcp --syn -m connlimit --connlimit-above <your limit number> --connlimit-mask 0 -j DROP
вы можете сделать это с помощью модуля iptables "connlimit"
/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset
пример:
/sbin/iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT