nmcli:アクティブな接続数の制限

nmcli:アクティブな接続数の制限

を使用して作成されたイーサネットインターフェイスで最大クライアント数を設定できますかnmcli

例:ネットワークスイッチを追加して10台の機器を接続しても、最大2台の機器を正常に接続したいです。

答え1

これはイーサネットが機能する方法ではありません。イーサネットには「接続」はありません。これは2層以上の概念です。

したがって、TCP / IPパケットを特定の数のIPアドレスに送信する機能など、特定の種類のアクティビティを制限する方法でファイアウォールを機能させることができます。これは、クライアント数を監視するためにLinuxネットワークスタックの経験を超えたデーモンまたはBPFスクリプトを作成することを意味します。

しかし、何はいクライアント数?

  • IPアドレス? IPv4またはIPv6に言及していますか?誰でも自分で好きなだけ多くのIPアドレスを選択でき、実際には多くのシステムサービスがあります頼る一時アドレス、自動設定されたアドレス、またはベースアドレス。これは良い保護(現在「許可」を持っている人のIPアドレスを盗むことができる)でもサービス拒否に対する見かけの保護でもありません(2行のシェルコードが私のインターフェースに10,000個のIPアドレスを提供しました。大丈夫です)夕方です、隣人! )。
  • イーサネットMACアドレス? IPと同じ問題、任意に選択できます。特に、モバイルデバイス/無線アクセスがある環境では、ランダムに選択されることが多いです。
  • サービスへのTCP / IP接続が確立されました。今会話中です。あなたのサービス自体がそれを制御でき、サービス自体だけを知っている場合は、接続を拒否することができます。

正直そうですね。アプリケーション層ネットワークのより深いレベルで解決しようとしている問題です。ただし、ネットワークのより深い層はアクセス制御のためのものではありません。まったくしないでください。クライアントがアクセスするサービスが何であれ、認証とセッションの概念を提供します。最大セッション数がなくなった場合は、単に拒否してください。

関連情報