我希望限制 Linux 服务器上运行的给定服务的并发连接数。我的理解是这可以通过iptables使用connlimit模块来完成。例如,如果我想限制与 SSH 服务器的并发连接(并假设默认策略是拒绝),那么这应该允许 10 个并发连接,第 11 个被拒绝(从内存中写入):
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-upto 10 -j ACCEPT
问题是在我正在构建的新服务器上,我想使用nftables. 虽然我可以connlimit在手册页中找到提到的内容,但它只是简单地说明了consider native interface. Refer to Meters。在搜索了有关 Meters 的信息后,虽然它对于速率限制看起来很棒,但我找不到任何表明我可以做相当于connlimit.
那么,假设我想使用nftables,如何创建一个仅匹配 X 个并发连接的规则?