我要在网桥中限制某个ip的tcp的连接数，我想到的策略就是限制syn或ack包，当看到(synack)包，则计数器加一，看到fin则减一，当计数器增大到某个值时则禁止用户发起syn,但是因为存在丢包（丢返回的fin)的情况可能会造成计数已经加到阀值，但是用户并没有已连接的tcp连接，从而造成计数器无法执行减操作，有一个办法可以使用时间戳，当用户被禁止tcp的时见超过某一个值时，则计数器请零。但是总觉得不够稳定，各位大虾不知有什么好的办法，或现成的技术？

学学防火墙，做个状态检测，有一个链接就记录，嗬嗬，建议你看看iptables的代码

好深奥，帮你顶

iptables的iplimit模块