Меняем значение ip_list_tot без перезагрузки

  • 27.06.2017
  • 1 003
  • 0
  • 100.00%
  • 1
  • 18.03.2019
Меняем значение ip_list_tot без перезагрузки

В случае использования в iptables различных правил, которые должны блокировать IP адреса злоумышленников, например, при организации простенькой защиты, можно столкнуться с ситуацией, когда в памяти сохраняется лишь последние 100 ip адресов (актуально для Ubuntu 16.10). Для того, чтобы это исправить - необходимо поменять параметр ip_list_tot.


Временное изменение параметра ip_list_tot

Для того, чтобы изменить значение ip_list_tot "на лету", необходимо проделать следующие действия:

sudo modprobe -r xt_recent
sudo modprobe xt_recent ip_list_tot=10000
sudo modprobe xt_recent

sudo modprobe -r xt_recent - Выгружаем модуль xt_recent.
sudo modprobe xt_recent ip_list_tot=10000 - Устанавливаем значение ip_list_tot равным 10000. Т.е. теперь храниться будет 10000 различных ip адресов.
sudo modprobe xt_recent - Снова загружаем модуль.
Если после первой команды, получаем ошибку:

modprobe: FATAL: Module xt_recent is in use.

То необходимо временно удалить правила для iptables, использующие модуль xt_recent (-m recent) и после того, как они удалены, уже пытаться выгрузить модуль.

Постоянное изменение параметра ip_list_tot

Чтобы каждый раз не проделывать перечисленные выше операции, необходимо проделать следующее:

sudo echo options xt_recent ip_list_tot=10000 > /etc/modprobe.d/xt.conf

Т.е. мы создаем файл /etc/modprobe.d/xt.conf и внутри него указываем настройку для интересующего нас модуля.

Вся информация в статье актуальна для Ubuntu 16.10 и работа на других дистрибутивах не проверялась

Была ли эта статья Вам полезна?




Добавить комментарий

Ваш адрес email не будет опубликован.

Напоминаем Вам, что Ваше сообщение будет опубликовано только после проверки администратором сайта. Обычно это занимает 1-2 рабочих дня.