Меняем значение ip_list_tot без перезагрузки

  • 27.06.2017
  • 2 786
  • 0
  • 18.03.2019
  • 1
  • 1
  • 0
Меняем значение ip_list_tot без перезагрузки

В случае использования в iptables различных правил, которые должны блокировать IP адреса злоумышленников, например, при организации простенькой защиты, можно столкнуться с ситуацией, когда в памяти сохраняется лишь последние 100 ip адресов (актуально для Ubuntu 16.10). Для того, чтобы это исправить - необходимо поменять параметр ip_list_tot.

Временное изменение параметра ip_list_tot

Для того, чтобы изменить значение ip_list_tot "на лету", необходимо проделать следующие действия:

sudo modprobe -r xt_recent
sudo modprobe xt_recent ip_list_tot=10000
sudo modprobe xt_recent

sudo modprobe -r xt_recent - Выгружаем модуль xt_recent.
sudo modprobe xt_recent ip_list_tot=10000 - Устанавливаем значение ip_list_tot равным 10000. Т.е. теперь храниться будет 10000 различных ip адресов.
sudo modprobe xt_recent - Снова загружаем модуль.
Если после первой команды, получаем ошибку:

modprobe: FATAL: Module xt_recent is in use.

То необходимо временно удалить правила для iptables, использующие модуль xt_recent (-m recent) и после того, как они удалены, уже пытаться выгрузить модуль.

Постоянное изменение параметра ip_list_tot

Чтобы каждый раз не проделывать перечисленные выше операции, необходимо проделать следующее:

sudo echo options xt_recent ip_list_tot=10000 > /etc/modprobe.d/xt.conf

Т.е. мы создаем файл /etc/modprobe.d/xt.conf и внутри него указываем настройку для интересующего нас модуля.

Вся информация в статье актуальна для Ubuntu 16.10 и работа на других дистрибутивах не проверялась
Была ли эта статья Вам полезна?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Напоминаем Вам, что Ваше сообщение будет опубликовано только после проверки администратором сайта. Обычно это занимает 1-2 рабочих дня.