iptables hashlimit dstip,dstport вопрос

0

1

на железке несколько ip, иногда прилетает нечисть на какой-то из них и на определенный порт. если лимитом придушить на dstip,dstport как оно считает? каждому dstip,dstport отдельный счетчик ведется?

Ссылка

←	Сравнение двух списков и вывод в терминал несопадений (без использования vimdiff)

Освоение командной строки и линукса в целом

→

Да, отдельный счётчик. При условии, что hash-таблица не переполняется.

mky ★★★★★
(05.12.20 13:29:21 MSK)

Ответ на: комментарий от mky 05.12.20 13:29:21 MSK

тоесть каждому ip:port считает отдельно и если у определенной пары переполение то только этой паре отрежет трафик а остальных будет считать дальше. Верно я мыслю?

User01 ★
(05.12.20 15:54:18 MSK) автор топика

Ответ на: комментарий от User01 05.12.20 15:54:18 MSK

Переполнение не у пары, у таблицы. На каждую пару dstip,dstport заводится запись, но не более ″--hashlimit-htable-max″ записей.

Если будет перебор всех портов и всех ip-адресов, то новые пары будут «выбивать» старые из таблицы, а в dmesg/логах будет ругань типа:

kernel: xt_hashlimit: max count of 65536 reached

Скорее всего у вас такого не будет, но если что, поднимайте hashlimit-htable-max и hashlimit-htable-size.

mky ★★★★★
(05.12.20 17:07:30 MSK)

Ответ на: комментарий от mky 05.12.20 17:07:30 MSK

сложновато понять. цель преследую такую, что если к примеру прилетает гадость на один ip:port, то именно этой паре будет ограничивать входящий трафик, а остальные ip:port будут дальше считать пакеты без ограничения

User01 ★
(05.12.20 17:36:21 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сравнение двух списков и вывод в терминал несопадений (без использования vimdiff)

General

Освоение командной строки и линукса в целом

→

Похожие темы