В случае использования в iptables различных правил, которые должны блокировать IP адреса злоумышленников, например, при организации простенькой защиты, можно столкнуться с ситуацией, когда в памяти сохраняется лишь последние 100 ip адресов (актуально для Ubuntu 16.10). Для того, чтобы это исправить — необходимо поменять параметр ip_list_tot.
Временное изменение параметра ip_list_tot
Для того, чтобы изменить значение ip_list_tot «на лету», необходимо проделать следующие действия:
sudo modprobe -r xt_recent sudo modprobe xt_recent ip_list_tot=10000 sudo modprobe xt_recentsudo modprobe -r xt_recent — Выгружаем модуль xt_recent.
sudo modprobe xt_recent ip_list_tot=10000 — Устанавливаем значение ip_list_tot равным 10000. Т.е. теперь храниться будет 10000 различных ip адресов.
sudo modprobe xt_recent — Снова загружаем модуль.
Если после первой команды, получаем ошибку:
modprobe: FATAL: Module xt_recent is in use.То необходимо временно удалить правила для iptables, использующие модуль xt_recent (-m recent) и после того, как они удалены, уже пытаться выгрузить модуль.
Постоянное изменение параметра ip_list_tot
Чтобы каждый раз не проделывать перечисленные выше операции, необходимо проделать следующее:
sudo echo options xt_recent ip_list_tot=10000 > /etc/modprobe.d/xt.confТ.е. мы создаем файл /etc/modprobe.d/xt.conf и внутри него указываем настройку для интересующего нас модуля.
Добавить комментарий