我试图阻止在很短的时间内打开大量连接的网络机器人。我正在使用这种语法:
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j logdropconnection
我的问题是,如果没有iptables抛出错误,我无法放松这些参数。当我尝试将hitcount增加到20以上时,我收到错误。我不应该把它设置为我想要的任何东西吗?例如,将我的连接限制为100 /秒?
答案 0 :(得分:4)
由于您没有在提问中提及错误,我会猜测dmesg显示此错误:
xt_recent: hitcount (100) is larger than packets to be remembered (20)
这是xt_recent(有时称为ipt_recent)内核模块的设置。
您可以通过以下方式更新(或创建)/etc/modprobe.d/options.conf来增加限额:
options xt_recent ip_pkt_list_tot=100
注意:这可能是在具有内核共享功能的VPS主机上实现的问题。