ipt_recent对于这样做非常棒,而且它为严重减慢访问提供了很大的灵活性,但是CentOS内核中有一个错误阻止我使用它(已报告,但等待修复).
使用ipset需要编译一个比CentOS更新的iptables版本,虽然我完全有能力这样做,但我不愿意从修补,安全性和一致性的角度来做.
除了那两个,看起来nfblock是一个合理的选择.有谁知道其他方法来实现这一目标?我对iptables中几千个IP地址的关注是否是个别规则没有根据?
我从来没有在指定规则数量的Linux中遇到限制,因为userland工具是ipfwadm,所以我一直在使用Linux进行防火墙.值得注意的是,在2.4.x内核和ipfwadm是ipfw而不是netfilter的接口之前,Netfilter没有被引入Linux.如果您可以在您的环境中继续使用OpenBSD,OpenBSD非常适合防火墙.
限制可能是基于系统资源的物理限制,重点是可用RAM的数量.如果遇到问题,可能需要调整内核中Linux的max ip连接设置.在具有现代Linux发行版的现代硬件上,您不太可能遇到这些情况.
如果您想讨论netfilter的更详细信息,最好在netfilter邮件列表上进一步查看此对话框,因为他们将成为主题专家.
如果这不能回答您的问题,请随时澄清,我将很乐意对其进行修改.
Netfilter user hits memory limitation testing netfilter limits
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
