3

短期間に多数の接続を開く Web ボットをブロックしようとしています。私はこの構文を使用しています:

-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j logdropconnection

私の問題は、iptables がエラーをスローしない限り、これらのパラメーターを緩和できないことです。ヒット数を 20 を超えて増やそうとすると、エラーが発生します。それを私が望むものに設定できるべきではありませんか?たとえば、接続を 100/秒に制限しますか?

4

1 に答える 1

4

dmesg質問でエラーについて言及しなかったため、このエラーを示すワイルドな推測を行います。

xt_recent: hitcount (100) is larger than packets to be remembered (20)

これはxt_recent( と呼ばれることもあるipt_recent) カーネル モジュールの設定です。

次のように更新 (または作成) することで、制限を増やすことができます/etc/modprobe.d/options.conf

options xt_recent ip_pkt_list_tot=100

注: これは、カーネル共有機能を備えた VPS ホストに実装すると問題になる可能性があります。

于 2012-12-02T21:52:30.200 に答える