NetBSD PF 中連接數(shù)限制有問題

lin_wang

按照 http://www.openbsd.org/faq/pf/filter.html#stateopts
和 http://netbsd.gw.com/cgi-bin/man-cgi?pf.conf++NetBSD-current
中連接數(shù)限制的設(shè)置，在NetBSD中會有問題。

比如限制SSH的連接數(shù)為3

1. 
   
2. table <over_limit> persist
   
3. block in quick from <over_limit>
   
4. 
   
5. pass in quick proto tcp from any to any port 22 flags S/SA keep state \
   
6. (max-src-conn 3, max-src-conn-rate 15/5, overload <over_limit> flush)
   

復(fù)制代碼

前3個SSH會話都能正常建立，當(dāng)建立第4個SSH會話的時候，第4個會話被正確的阻塞，
但前3個已經(jīng)建立的會話也被阻塞了，也就是說，這個時候PF的狀態(tài)檢測失效了。

但同樣的規(guī)則在OpenBSD中工作得很好。希望大家也測試一下，
如果真有這種問題的話，就給NetBSD提交一個BUG報告。

ground

關(guān)注