最近一段时间比较懒散,很久没更新了,今天闲来没事,就又来发一篇.
通常我们的vps都是linux,现在的环境大家都追求性能和便捷了所以多是lnmp,通常nginx限制ip的连接数都是修改nginx.conf
1.#limit_zone  oneip  $binary_remote_addr  10m;
将前面的#去掉，再添加
1.limit_conn oneip 20;
limit_conn 语句最后面的数字为单个IP的最大并发连接数为20。
如果想利用iptables来限制一个ip的连接数又是怎么样的呢?
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
这样即是一个ip的80端口连接数最大不超过10
更智能的利用iptables的recent 模块来判断某一个ip是否由于连接数过大而ban掉他
这时，就需要下列的三行指令:
1iptables -I INPUT -p tcp --dport 80 -d YOUR_IP -m state --state NEW -m recent --name httpuser --set

2iptables -A INPUT -m recent --update --name httpuser --seconds 60 --hitcount 9 -j LOG --log-prefix 'HTTP attack: '

3iptables -A INPUT -m recent --update --name httpuser --seconds 60 --hitcount 9 -j DROP
其中 YOUR_IP 换上你的服务器 IP
1. 第一行的意思是：-I，将本规则插入到 INPUT 链里头的最上头。什么样的规则呢？只要是 TCP 性质的联机，目标端口是80，目标 IP 是我们机器的IP，刚刚新被建立起来时，我们就将这个联机列入 httpuser 这分清单中。
2. 第二行的意思是：-A，将本规则附在 INPUT 链的最尾端。只要是60秒内，同一个来源连续产生多个联机，到达第9个联机时，我们对此联机留下 Log记录。记录行会以 HTTP attack 开头。每一次的本规则比对， –update 均会更新 httpuser 清单中的列表。
3. 第三行的意思是：-A，将本规则附在 INPUT 链的最尾端。同样的比对条件，但是本次的动作则是将此联机给断掉。
所以，这三行规则表示，我们允许一个客户端，每一分钟内可以接上服务器8个。具体数值可以看管理者决定。这些规则另外也可以用在其它对 Internet 开放的联机服务上，例如 port 22 (SSH), port 25 (smtp email)。
为什么新版的 iptables 它在阻挡上很有效率呢？因为在旧版的 iptables 中，并没有这些新模块功能，导致我们得需要使用操作系统的 Shell 接口，周期性地执行网络检查与拦阻动作。 前者只动用到网络层的资源，而后者已经是应用层的大量(相对而言)运算。试想，服务器都已经给白目客户操翻天了，哪还有余力周期性地呼叫软件层级的计算，来阻挡白目客户呢？
如果下上述指令时，得到下列错误：
iptables: No chain/target/match by that name
这表示， kernel 在编译时，没有将 iptables module 功能勾选。要重新勾选再编译哦~~~另一个可能是，您使用的服务器，该服务公司所提供的共享核心中，并没有打开此功能，但因为是核心共享…所以…没有权利重新编译核心。
以上文章来源于网络,智能的ip限制第二步报错iptables: Unknown error 18446744073709551615,现在无法解释.