to nutpicker:
我覺得你這個人真不是普通的煩!
感覺好像人家在寫作文~你在旁邊說你的國字是在抄襲"倉頡"的字一樣!
搞不懂你憑甚麼質疑人家頻寬管理那部份的code是怎麼寫出來的
人家憑甚麼要給你看~要跟你說~你自己那麼厲害~你自己不會寫來賣喔!

to 小峰:
關於這種為找麻煩而來的人~我覺得您從現在開始不用對他的任何留言提出回應!
言論自由包含了那種人亂咬亂叫~但也包含了高雅的人不予回應!

1.我沒說那是抄襲，要traffic control(QoS) 本來的repo就有,connction tracking 功能 netfilter本來就有！為何要自己另外再開發？還是功能上有不同？

2.我什麼時候要他們給我看source code(我又沒買)，我只是問說這兩項功能原本就有，最多沒有web介面來控制！請提出我要求他們給我看source的根據！ 我既不厲害也不會"寫"給linux traffic control 跟 netfilter 的 connection tracking ，只會按 make，也沒說過我很厲害會自己寫給linux的traffic control與netfilter。請您提出根據

3.>關於這種為找麻煩而來的人!
我覺得你說對了：


另外，有些使用者可能會質疑版權的問題
請放心，本公司尊照自由軟體規範GPL的規定，提供付費取得原始碼的權力
有關GPL規範條文，請您參考 http://www.linux.org.tw/CLDP/OLD/doc/GPL.html
(若您的網頁顯示為亂碼，請您將網頁編碼改為 繁體中文Big5 即可)

:p

4.個人意見是不用樓主回答，謎底也很清楚！

贊助商連結

connection tracking 的功能, 是 netfilter 本來就有沒錯
不過這和 IP Session 是不一樣的東西吧
若您認為這和小峰兄賣的是一樣的東西

請說明如何啟用? netfilter 裡面那一段程式是這樣的功能????
小峰兄說的


IP Session 是處理每一個 client 的連線數用的,這部份是配合 netfilter 的架構撰寫.自行計數每一個 client 的 "現有連線數",非套用 ipt_limit 等等的 module.


ap 控制在 iptables/extensions/libipt_connlimit，上面也有manual(libipt_connlimit.man)
核心部份在 linux/net/netfilter/xt_connlimit.c

libipt_connlimit.man 內容


Allows you to restrict the number of parallel TCP connections to a
server per client IP address (or address block).
.TP
[\fB!\fR] \fB--connlimit-above \fIn\fR
match if the number of existing tcp connections is (not) above n
.TP
.BI "--connlimit-mask " "bits"
group hosts using mask
.P
Examples:
.TP
# allow 2 telnet connections per client host
iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT
.TP
# you can also match the other way around:
iptables -A INPUT -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT
.TP
# limit the nr of parallel http requests to 16 per class C sized \
network (24 bit netmask)
iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16
--connlimit-mask 24 -j REJECT


應該沒錯吧！謝謝各位大大指正！

小峰兄說的


ap 控制在 iptables/extensions/libipt_connlimit，上面也有manual(libipt_connlimit.man)
核心部份在 linux/net/netfilter/xt_connlimit.c

libipt_connlimit.man 內容


應該沒錯吧！謝謝各位大大指正！

唉, 當然不是, 請實際執行看看
看看此 module 可否鎖住 非 TCP 的連線

而且這一個 module 並沒有 http://www.vigorclub.com/uploads/img4774d825299aa.jpg
這一個圖的輸出, 也沒辦法得知目前的限制資料

簡單的說, 應該是不會使用該 module

唉, 當然不是, 請實際執行看看
看看此 module 可否鎖住 非 TCP 的連線

而且這一個 module 並沒有 http://www.vigorclub.com/uploads/img4774d825299aa.jpg
這一個圖的輸出, 也沒辦法得知目前的限制資料

簡單的說, 應該是不會使用該 module
不知道既非tcp何來connection limit之說！[1]

udp 是connectionless i.e. 2-tuple (有dest host 與 dest port 即可)！
請您說出可以對非tcp，但有能形成connection concept的東西/protocol~

我個人臆測可能是有出現利用非tcp來傳輸檔案的p2p

[1]我找來google+ "UDP protocol is an unreliable connectionless protocol" 來為我背書！

修正：connlimit 不只是可以對tcp!謝謝connlimit

暈倒! 又是一個一知半解的

UDP protocol is an unreliable protocol == no netfilter conntrack info??

請開一台 Linux Kernel 2.4 的機器
往外連 UDP(比如 DNS 53) 或是 ping 某一機器(例如 168.95.1.1)

看看 /proc 裡有沒有 conntrack 的資料!

我建議您向小峰兄買一台機器, 用程式測看看 UDP 的連線會不會被 "connection limit"!!
我是針對您說的一樓說IP Session管理功能，您又說該功能與原 connlimit 提供功能不相同而回答並非說出


UDP protocol is an unreliable protocol == no netfilter conntrack info


非tcp不能自己去紀錄 tracking 嗎（如果你看的懂人家在談什麼）？不過請問我去requst dns 發udp packet，那請問什麼什麼時候算一個connection的開始，什麼時候算一個 connection的ending?

暈倒! 又是一個一知半解的
看看 /proc 裡有沒有 conntrack 的資料!


我不懂大大的意思，能寫一下"看看 /proc 裡有沒有 conntrack 的資料" 的教學嗎？

本來就看的懂! netfilter 裡面本來就可以知道 connection info
包含 initial & ending!

相關的資料在哪, 請自行 Google

conntrack initial 就是 connection 的開始
conntrack destroy 就是 connection ending!

可不可以針對我在#41問題作回應！dns 用 udp查詢時，何時是開始？何時是結束？對作connection limit。

p.s. /proc 看conntrack 資料是不是指讀取/proc/sys/net/netfilter？

還在吵啊 !:p


難得台灣公司作出這麼好又超值的 AP !

應給點支持吧!

加油...峰哥! :D

+1:heart:

可以
在第一個 DNS 封包送出時, 就是開始
當 DNS reply 回來時, 就是結束
否則必須要等到 UDP timeout, 才會是結束

再來, connlimit 只能處理 TCP
conntrack 不是讀取 /proc/sys/net/netfilter
請自行 Google

請架一台 Linux Router, 測試看看, 看看 Linux 能否看到 UDP 的 conntrack info?

有一個簡單的方法可以驗證明誠的和 Linux default 的一不一樣

設定每一個 IP 只能開 10 個連線
然後打開 BT/eMule 等等 P2P 連線

再試看看 DNS/ICMP 等 un-reliable 連線, 能否成功建立
就知道明誠做的東西是不是有問題

我買過, 所以我知道他們應該不是 connlimit~
ok! 我錯了 xt_connlimit 不只是對tcp，我掌嘴！

看一下這個http://marc.info/?l=netfilter-devel&m=118104240511940&w=2

謝謝dou0228的指點，xt_connlimit 不只是對tcp~tracking就是靠現有的 nf_conntrack_tuple !除了那個tcp在wait for closing 算是已關閉，應該跟nf_conntrack_tuple紀錄的？是這樣嗎？

錯了, xt_connlimit 是 2.6
tomato 是 2.4 的核心, 沒有 xt_connlimit 可以用
可是 http://ftp.netfilter.org/pub/patch-o-matic-ng/patch-o-matic-ng-20040302.tar.bz2 中部不是也有給2.4 的connlimt?

XD: http://www.polarcloud.com/f/TomatoSource_1_13.tar.bz2 上也有看到connlimit