parametri del module di impostazione dei moduli "recenti" di iptables

Il manpage per il module 'recent' di iptables spiega che il module stesso accetta parametri. Come si fa a determinare questi parametri? Immagino che sarebbero stati posti da qualche parte where il module è caricato. Non so where sia.

Qualcuno ha qualche idea?

  • LXC networking con IP pubblico
  • come accettare solo "subnet" specifiche usando iptables?
  • Può tcpdump indicare i numbers di port accessibili?
  • Centos 7 salva le impostazioni di iptables
  • iptables domanda
  • QOS / iptables? per vonage e openvpn? … o qualcos'altro?
  • 4 Solutions collect form web for “parametri del module di impostazione dei moduli "recenti" di iptables”

    Se si carica manualmente il module, è sufficiente aggiungere alla row di command modprobe:

    modprobe ipt_recent param1=val1 param2=val2 

    Altrimenti, se viene caricato automaticamente, puoi creare un file in /etc/modprobe.d , ad esempio /etc/modprobe.d/ipt_recent , con i contenuti di:

     options ipt_recent param1=val1 param2=val2 

    Che farà la stessa cosa della linea modprobe sopra.

    Non ho la reputazione di rispondere alla risposta di TopQ, ma ho firmato per un account solo per dire alle persone di non fare quello che suggerisce. Il codice sorgente del module ( http://lxr.linux.no/linux+v3.9/net/netfilter/xt_recent.c ) non ha alcuna disposizione per rilevare le modifiche a tale parametro e nessuna disposizione per riallocare il buffer del kernel responsabile tenere traccia di recenti colpi.

    Pertanto, se chmod questo parametro è scrivibile e successivamente modificato, le successive voci nei registri di colpi recenti esistono supereranno i buffer di kernel precedentemente assegnati e causano un panico del kernel.

    Se il module è già caricato, è comunque ansible modificare il parametro manipolando il valore in / sys / module / ipt_recent / parameters /.

    Ad esempio, per modificare il valore di ip_pkt_list_tot è ansible:

    echo 200> / sys / module / ipt_recent / parameters / ip_pkt_list_tot

    Naturalmente devi avere il permesso.

    Avviso: Capire che la modifica di questo impatto sull'utilizzo della memory della macchina in quanto questi dati vengono memorizzati in memory e iptables richiedono risorse maggiori per gestire quantità maggiori di dati.

    Impostare il file di configuration xt_recent

    Creare il file /etc/modprobe.d/xt_recent.conf e includere una row come questa:

    options xt_recent ip_list_tot=50 ip_pkt_list_tot=150

    Non dimenticare di aggiungere alcuni commenti su quello che stai facendo. Futuro ti ringrazierò.

    Preparati a reinizializzare xt_recent

    Prima di rimuovere tutte le regole nel firewall attualmente utilizzando il module recente o semplicemente distriggersre il firewall. Potresti voler salvare le tue regole prima di fare questo con sudo iptables-save > somefile.txt o forse sudo service iptables save se tu distro lo support.

    Scegli una di queste due a seconda della situazione per pulire. Puoi anche semplicemente riavviare il computer a questo punto e saltare ad aggiungere regole.

    Per aprire iptables

    sudo service iptables stop

    Per rimuovere regole specifiche:

    1. Usare iptables -L --line-numbers per elencare le regole e cercare "recent:" nelle regole.
    2. Usa iptables -D INPUT # where # è il numero di linea per eliminare le regole.

    Reinizializzare xt_recent

    Rimuovere il module con sudo modprobe -r xt_recent . Aggiungilo con sudo modprobe xt_recent .

    Verificare che i parametri siano stati applicati con sudo cat /sys/module/xt_recent/parameters/ip_pkt_list_tot .

    Aggiungi le regole che non potreste

    Se hai interrotto iptables sudo service iptables start a riportrlo indietro.

    Inserisci le tue regole con i valori più alti desiderati.

    Bonus:

    sudo watch 'iptables -nvL' vi permetterà di guardare cose che hanno colpito le regole xt_recent.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.