3

我试图阻止在短时间内打开大量连接的网络机器人。我正在使用这种语法:

-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j logdropconnection

我的问题是,如果没有 iptables 抛出错误,我就无法放松这些参数。当我尝试将命中数增加到 20 以上时,出现错误。我不应该可以将它设置为我想要的任何东西吗?例如,将我的连接限制为 100/秒?

4

1 回答 1

4

由于您没有在问题中提及错误,因此我会大胆猜测dmesg显示此错误:

xt_recent: hitcount (100) is larger than packets to be remembered (20)

这是xt_recent(有时称为ipt_recent)内核模块的设置。

您可以通过更新(或创建)来增加限制/etc/modprobe.d/options.conf

options xt_recent ip_pkt_list_tot=100

注意:这可能是在具有内核共享功能的 VPS 主机上实现的问题。

于 2012-12-02T21:52:30.200 回答