如何限制UDP并發(fā)連接數(shù)

hlidea

網(wǎng)上查到可以用
iptables -I FORWARD -p! tcp   -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP
但是我要加一個(gè)端口范圍,比如--dport 1234:5678,
iptables -I FORWARD -p! tcp --dport 1234:5678 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP是不行的,我想是因?yàn)?tcp還包括ICMP
直接指定udp協(xié)議iptables -I FORWARD -p udp --dport 1234:5678 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP也不行,報(bào)錯(cuò)iptables: Target problem

怎樣限制UDP的并發(fā)連接數(shù)呢?(雖說(shuō)UDP是無(wú)連接的,此處就是為了方便表達(dá))
udp 在 netfilter 里面可以被 conntrack 的能否根據(jù)這個(gè)特性來(lái)判斷呢？

platinum

如果有 udp 包發(fā)出，無(wú)論是否有回包，都會(huì)記錄到 netfilter 的 conntrack 里，而這個(gè)記錄是有 timed out 值的
換言之，若 timed out 值沒(méi)到，有包闖入，就會(huì)算一個(gè)“連接”，那么統(tǒng)計(jì)起來(lái)就太不準(zhǔn)了