iptables には色々とモジュールがあって、これを利用するとかなり細かな設定まででき、非常に楽になります。

この中に experimental ではあるものの非常に魅力的な connlimit というモジュールがありました。これを利用すると１クライアントあたりのTCP接続数の上限をポート別などにして制限することが可能です。

で、これをcentos4でどうしても利用したくて調べていたのですが…結論から言うと、使えません。ただ、centos5だと使えるかもしれません。未調査です。

理由としては単純で、カーネルのバージョン上の問題のようです。centos4 の kernel-2.6.9 では ipt_conntrack のヘッダファイルのバージョンが低いらしく、カーネルモジュールをコンパイルしても Unknown symbol と言われるに留まりました。ひょっとしたらヘッダファイルをいじれば動くのかもしれませんが、ちょっと怖くて触っていません。

connlimit の前身がどやら iplimit というモジュールのようですが、これは centos3 で動くのかなぁ。conntrack はたぶん centos5　では動くと思う…動いてほしい(笑

3 と 5 で利用できたとしても、同じ機能が 4 だけで利用できない間隙があるという事態に。／(＾o＾)＼ﾅﾝﾃｺｯﾀｲ

3 と 5 で利用できるかどうかは気が向いたら試します（やらなそうだ