关于iptables hitcount的限制问题

今天部署了两台 DNS 服务器,由于是私用服务器也要做一定的 Layer7 防御,所以参照 iptables man 手册 recent 部分配置了一下 iptables 防火墙规则

在 iptables 文件中写了两条规则,命令行写法如下:

然而回车发现提示了一个错误:

iptables: Invalid argument. Run 'dmesg' for more information.

所以跟进,运行 dmesg 查看了一下 debug 信息:

[ 7470.955475] ip_tables: (C) 2000-2006 Netfilter Core Team
[ 7490.000154] nf_conntrack version 0.5.0 (8002 buckets, 32008 max)
[ 7687.133805] xt_recent: hitcount (100) is larger than packets to be remembered (20)

看样子是 hitcount 参数有限制了,顺便查了下官方对 hitcount 参数的介绍和使用说明:

This option must be used in conjunction with one of –rcheck or –update. When used, this will narrow the match to only happen when the address is in the list and packets had been received greater han or equal to the given value. This option may be used along with –seconds to create an even narrower match requiring a certain number of hits within a specific time frame.

* The maximum value for the hitcount parameter is given by the “ip_pkt_list_tot” parameter of the xt_recent kernel module.Exceeding this value on the command line will cause the rule to be rejected.

随即又 Google 了下 ip_pkt_list_tot ,发现这个文件在 /sys/module/xt_recent/parameters 目录下,cat 了下 ip_pkt_list_tot 的值,还真是 20,按照以往情况,直接 echo 进去新的值就可以了,但是在重启服务后这个值又变回 20 了,异常郁闷。

然后记得自己在 Linux Bible 里看到过一个限制修改的部分,找了大半天书然后找到了如下的解决方案:

==============

我先在这里把完整的最终解决方案写出来,因为这只是个记录文,放这里方便急需解决问题的人

==============

实际上我解决问题的过程是这样的:

/etc/modprobe.d 下新建一个配置文件 xt_recent ,填写内容

然后重启 iptables 服务就可以了。

然而,这还是不行,重启服务提示:

WARNING: All config files need .conf: /etc/modprobe.d/xt_recent, it will be ignored in a future release.

看样子就是要多加个 conf 的问题,直接

mv /etc/modprobe.d/xt_recent /etc/modprobe.d/xt_recent.conf

就可以了。

声明: 本文采用 BY-NC-SA 协议进行授权 | Deamwork
转载请注明转自《关于iptables hitcount的限制问题
本文地址:https://www.deamwork.com/archives/iptables-increase-hitcount-limit.orz6

回复 (0)

› 尚无评论。

发表评论 修改评论取消编辑

允许使用的标签 - 您可以在评论中使用如下的 HTML 标签以及属性。

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <img src="" alt=""> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

 :mrgreen:  :|  :twisted:  :arrow:  8O  :)  :?  8-)  :evil:  :D  :idea:  :oops:  :P  :roll:  ;)  :cry:  :o  :lol:  :x  :(  :!:  :?:

引用通告 (0)

› 尚无引用通告。

欢迎来到Deamwork! o(∩_∩)o
X