Модуль xt_recent не меняется параметр ip_list_tot

0

1

Не мог изменить файл параметров /sys/module/xt_recent/parameters/ip_list_tot. Его править в результате не надо :) Оговорюсь сразу ОС использовала один контейнер lxc, в котором производились эксперименты с iptables и в котором собственно появилась потребность изменить этот параметр, а как оказалось он берется из параметров «гипервизора».

В результате для достижения цели надо:

1) Отключить все правила iptables использующие модуль «recent» или погасить их вовсе

2) Отключить модуль, применить параметр, включить модуль:

# modprobe -r xt_recent
# modprobe xt_recent ip_list_tot=5000000
# modprobe xt_recent

3) Но это работает до ребута ОС, для решения этого казуса добавил в /etc/rc.local строку:

modprobe -r xt_recent && modprobe xt_recent ip_list_tot=5000000 && modprobe xt_recent

Собственно рабочее решение. Но какой-то осадок остался, что это временный костыль. Может у кого есть идеи для более красивой реализации?

Ссылка

←	Из-за чего может с одной машины не пускать на другую по ssh при одинаковых файлах group и sshd_config?

SmoothWall как выйти в интернет через другой комп?

→

дык в какой-нибудь /etc/modprobe.d/local.conf прописать options xt_recent ip_list_tot=5000000 ?

man modprobe.d && man modprobe

vel ★★★★★
(05.04.16 17:26:40 MSK)
Последнее исправление: vel 05.04.16 17:28:03 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 05.04.16 17:26:40 MSK

пробовал сразу в /etc/modules добавить строку: options xt_recent ip_list_tot=5000000 Не работает. В /etc/modprobe.d соответственно тоже бесполезно.

Dimarius ★
(05.04.16 17:37:44 MSK) автор топика

Ответ на: комментарий от Dimarius 05.04.16 17:37:44 MSK

«man modprobe» или «modprobe -c»

не у всех оно может быть в /etc/modprobe.d/*.conf, у некоторых оно в /lib/modprobe.d/*.conf

Куда оно смотрит в системах с systemd - я вообще не представляю.

vel ★★★★★
(05.04.16 19:00:51 MSK)

Ссылка

~# cat /etc/modprobe.d/xt.conf
options xt_recent ip_list_tot=6000 ip_pkt_list_tot=255

ip_list_tot=5000000

ЕМНИП, очень большие значения оно не переваривает. 6000 нашёл то ли опытным путём, то ли копанием в исходниках.

nbw ★★★
(06.04.16 00:30:18 MSK)

Ответ на: комментарий от vel 05.04.16 17:26:40 MSK

Эксперимента ради все-таки создал файлик как вы посоветовали и оно сработало! После ребута значения сохранились. Вот теперь чувство костыля пропало :) Спасибо за советы, настроение улучшилось :)

# echo options xt_recent ip_list_tot=500000 > /etc/modprobe.d/xt.conf

Dimarius ★
(06.04.16 09:24:44 MSK) автор топика

Ссылка

Ответ на: комментарий от nbw 06.04.16 00:30:18 MSK

И вам спасибо, сработало! На мой сервак около 100 левых ip в минуту ломится, в результате в сутки 144 тысячи, значение 6 тысяч как-то маловато для борьбы с левотой. Или это 6 тысяч в связке с ip_pkt_list_tot=255? ip_pkt_list_tot по-мне достаточно 10, зачем так много?

Dimarius ★
(06.04.16 09:29:43 MSK) автор топика

Ссылка

28 июня 2016 г.

Ответ на: комментарий от nbw 06.04.16 00:30:18 MSK

Уже более 15 тысяч и без проблем все переваривает:

# cat /proc/net/xt_recent/smtp_grayed | wc -l
15790

Dimarius ★
(28.06.16 09:04:25 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Из-за чего может с одной машины не пускать на другую по ssh при одинаковых файлах group и sshd_config?

Admin

SmoothWall как выйти в интернет через другой комп?

→

Похожие темы