s**h 发帖数: 1889 | 1 比如指定了些规则,一定时间内登录频率不能超过若干次。那系统把违反规则的ip存在
哪里呢? |
x****s 发帖数: 921 | |
r****t 发帖数: 10904 | 3 內存裡
【在 s**h 的大作中提到】 : 比如指定了些规则,一定时间内登录频率不能超过若干次。那系统把违反规则的ip存在 : 哪里呢?
|
s**h 发帖数: 1889 | 4 有上限吗?还是直到内存塞满,呵呵
存在
【在 r****t 的大作中提到】 : 內存裡
|
y****e 发帖数: 23939 | 5 这个ip list应该定时清除掉。没必要一直存着。否则太多了会影响效率。
比如block 三个小时到五个小时的一个随机时间长度。
【在 s**h 的大作中提到】 : 有上限吗?还是直到内存塞满,呵呵 : : 存在
|
s**h 发帖数: 1889 | 6 哦。不过这样的话那些ip不是又会回来?
【在 y****e 的大作中提到】 : 这个ip list应该定时清除掉。没必要一直存着。否则太多了会影响效率。 : 比如block 三个小时到五个小时的一个随机时间长度。
|
S*A 发帖数: 7142 | 7 你要确切问的是哪一个 iptable 的 module?
有统计的 module, 但是据我所知没有根据 ip 地址访问频率来禁止那些
ip 的 module.有可以根据访问频率禁止那一条规则的。
你要知道是哪个 module 我们才好讨论。
唯一接近的是防止 sync flood 的功能, 那个是通过给sender 发 challenge.
sender 必须回应 cookie 才能继续。这个方法是没有black log queue。
那个 black log queue 实际上跑到 sender 那一边了。 |
s**h 发帖数: 1889 | 8 哦,我对这个不熟,就是抄了一个规则觉得用得挺方便:
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m
recent --set --name SSH
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m
recent --update --seconds 600 --hitcount 6 --rttl --name SSH -j DROP
这个是限制一定时间内新建ssh连接不得超过一定数目的。我也不知道是哪个模块,呵
呵。
【在 S*A 的大作中提到】 : 你要确切问的是哪一个 iptable 的 module? : 有统计的 module, 但是据我所知没有根据 ip 地址访问频率来禁止那些 : ip 的 module.有可以根据访问频率禁止那一条规则的。 : 你要知道是哪个 module 我们才好讨论。 : 唯一接近的是防止 sync flood 的功能, 那个是通过给sender 发 challenge. : sender 必须回应 cookie 才能继续。这个方法是没有black log queue。 : 那个 black log queue 实际上跑到 sender 那一边了。
|
S*A 发帖数: 7142 | 9 对阿,这是针对 rule 来 drop.
当链接数目超过以后,这个不是针对 IP 地址来 drop 包的,
所有 IP 都连不进来。
下个时间段有新的 quota 之后又所有 IP 开放,先来先得。
跟具体某个 IP 的访问历史没有关系。
【在 s**h 的大作中提到】 : 哦,我对这个不熟,就是抄了一个规则觉得用得挺方便: : /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m : recent --set --name SSH : /sbin/iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m : recent --update --seconds 600 --hitcount 6 --rttl --name SSH -j DROP : 这个是限制一定时间内新建ssh连接不得超过一定数目的。我也不知道是哪个模块,呵 : 呵。
|
a*l 发帖数: 1915 | |
s**h 发帖数: 1889 | 11 有点疑问。我自己试过,家里有3台机访问跑这个iptable规则的linux机,我在一台机
上故意在短时间内访问超过上限,这台客户机就再也不能访问了,可是其他两台机还是
可以照常访问。而且过了几天那台违规的机器好象都不能访问(这一点记得不太准确了)
。必须flush才行。不知道这是不是说明这个规则是针对ip的。
m
m
,呵
【在 S*A 的大作中提到】 : 对阿,这是针对 rule 来 drop. : 当链接数目超过以后,这个不是针对 IP 地址来 drop 包的, : 所有 IP 都连不进来。 : 下个时间段有新的 quota 之后又所有 IP 开放,先来先得。 : 跟具体某个 IP 的访问历史没有关系。
|
S*A 发帖数: 7142 | 12 我前面说的是错的,那个 connect 的 rule 还真个 kernel memory 黑名单
记住犯规的 IP. 其中那个 --remove 是可以把 IP 从黑名单画去。
看来还是要看手册啊。
http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.16
了)
【在 s**h 的大作中提到】 : 有点疑问。我自己试过,家里有3台机访问跑这个iptable规则的linux机,我在一台机 : 上故意在短时间内访问超过上限,这台客户机就再也不能访问了,可是其他两台机还是 : 可以照常访问。而且过了几天那台违规的机器好象都不能访问(这一点记得不太准确了) : 。必须flush才行。不知道这是不是说明这个规则是针对ip的。 : : m : m : ,呵
|
s**h 发帖数: 1889 | 13 哦,多谢了。这么看来我用的这个规则确实是把这帮ip存在内存了。
台机
还是
【在 S*A 的大作中提到】 : 我前面说的是错的,那个 connect 的 rule 还真个 kernel memory 黑名单 : 记住犯规的 IP. 其中那个 --remove 是可以把 IP 从黑名单画去。 : 看来还是要看手册啊。 : http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html#ss3.16 : : 了)
|