今日发现之 connlimit

connlimit 是 netfilter/iptables 的一个扩展，用来限制并发连接数，规则甚至可以限制某个子网的总并发数，用来挡攻击可以说再好不过。

实际上我计划的是用它来限制主机向外的连接... 比如与其费尽心思做一个 mysql 连接池避免耗尽 mysql server 连接上限，说不定还不如暴力的用这个模块直接限制到 mysqld 3306 的连接数目来得爽快。

我打算在 AS3 上使用它，同时并不打算重新编译整个内核.. 现在可以确认在这个平台上，使用 netfilter team 第一次正式发布的 P-O-M 就可以(20040302)，从第二次发布起就只能在 2.4.22 之后的内核上工作了。

试用 P-O-M 的过程中还发现自 20060726 开始，connlimit 就神秘的从 snapshot 里面消失了 (从 CU 上看，netfilter 在 20050919 还一次性少了 1/3 的模块)，现在 netfilter 的邮件列表归档也无法访问了，不晓得出了什么状况。

不过在搜索中发现一年以后(20070715)有某牛人 connlimit 合并到 2.6 内核里面，换句话说就是从 2.6.23 开始，无需 P-O-M 就可以直接编译出 connlimit 了.

从目前看，20050918 的 P-O-M 应该是功能最全的一个版本了（但很多只能在 2.4 内核上跑），想要的搜索一下 patch-o-matic-ng-20050918.tar.bz2 应该还能找到。