使用iptables阻止web机器人

时间:2012-09-27 20:14:24

标签: iptables

我试图阻止在很短的时间内打开大量连接的网络机器人。我正在使用这种语法:

-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set
-A INPUT -p tcp --dport 80 -m state --state NEW -m recent --update --seconds 1 --hitcount 20 -j logdropconnection

我的问题是,如果没有iptables抛出错误,我无法放松这些参数。当我尝试将hitcount增加到20以上时,我收到错误。我不应该把它设置为我想要的任何东西吗?例如,将我的连接限制为100 /秒?

1 个答案:

答案 0 :(得分:4)

由于您没有在提问中提及错误,我会猜测dmesg显示此错误:

xt_recent: hitcount (100) is larger than packets to be remembered (20)

这是xt_recent(有时称为ipt_recent)内核模块的设置。

您可以通过以下方式更新(或创建)/etc/modprobe.d/options.conf来增加限额:

options xt_recent ip_pkt_list_tot=100

注意:这可能是在具有内核共享功能的VPS主机上实现的问题。