我希望以相对自动化的方式阻止IP地址,如果它们看起来是我们托管的网站的“屏幕抓取”内容.在过去,这是通过一些巧妙的perl脚本和OpenBSD的pf实现的. pf很棒,你可以提供很好的IP地址表,它可以有效地处理基于它们的阻塞.然而由于各种原因(在我之前),他们决定改用CentOS. iptables本身并不提供阻止大量地址的能力(我被告知阻止5000这一点并不罕见),而且我对将许多规则添加到iptable中有点谨慎.
ipt_recent对于这样做非常棒,而且它为严重减慢访问提供了很大的灵活性,但是CentOS内核中有一个错误阻止我使用它(已报告,但等待修复).
使用ipset需要编译一个比CentOS更新的iptables版本,虽然我完全有能力这样做,但我不愿意从修补,安全性和一致性的角度来做.
除了那两个,看起来nfblock是一个合理的选择.有谁知道其他方法来实现这一目标?我对iptables中几千个IP地址的关注是否是个别规则没有根据?
iptables是用于操作netfilter的用户态工具. netfilter是内核中处理包过滤的代码.从上下文来看,更改用户态工具只会改变您的体验,而不会改变过滤的运行方式.
原文链接:https://www.f2er.com/centos/373835.html我从来没有在指定规则数量的Linux中遇到限制,因为userland工具是ipfwadm,所以我一直在使用Linux进行防火墙.值得注意的是,在2.4.x内核和ipfwadm是ipfw而不是netfilter的接口之前,Netfilter没有被引入Linux.如果您可以在您的环境中继续使用OpenBSD,OpenBSD非常适合防火墙.
限制可能是基于系统资源的物理限制,重点是可用RAM的数量.如果遇到问题,可能需要调整内核中Linux的max ip连接设置.在具有现代Linux发行版的现代硬件上,您不太可能遇到这些情况.
如果您想讨论netfilter的更详细信息,最好在netfilter邮件列表上进一步查看此对话框,因为他们将成为主题专家.
如果这不能回答您的问题,请随时澄清,我将很乐意对其进行修改.
Netfilter user hits memory limitation testing netfilter limits