26.6.8. Utilização de nftables para limitar a quantidade de conexões

Procedimento

1. Adicione uma regra que permite apenas duas conexões simultâneas à porta SSH (22) a partir de um endereço IPv4 e rejeita todas as outras conexões a partir do mesmo IP:

   # nft add rule ip example_table example_chain tcp dport ssh meter example_meter { ip saddr ct count over 2 } counter reject

   Copy to Clipboard Toggle word wrap

2. Opcionalmente, exibir o medidor criado na etapa anterior:

   # nft list meter ip example_table example_meter
   table ip example_table {
     meter example_meter {
       type ipv4_addr
       size 65535
       elements = { 192.0.2.1 : ct count over 2 , 192.0.2.2 : ct count over 2  }
     }
   }

   Copy to Clipboard Toggle word wrap

   A entrada elements exibe endereços que atualmente correspondem à regra. Neste exemplo, elements lista os endereços IP que têm conexões ativas com a porta SSH. Observe que a saída não exibe o número de conexões ativas ou se as conexões foram rejeitadas.