![iptables - 我在配置中添加新规则后失去了对盒子的控制](https://linux22.com/image/1422585/iptables%20-%20%E6%88%91%E5%9C%A8%E9%85%8D%E7%BD%AE%E4%B8%AD%E6%B7%BB%E5%8A%A0%E6%96%B0%E8%A7%84%E5%88%99%E5%90%8E%E5%A4%B1%E5%8E%BB%E4%BA%86%E5%AF%B9%E7%9B%92%E5%AD%90%E7%9A%84%E6%8E%A7%E5%88%B6.png)
我的设置如下:
- 互联网上行链路(200Mbit)
- DMZ(1GB 以太网)
- 内部网络(1GB 互联网)
- 日志接口
我的网关为大约 600 个客户端提供服务,并设置了 1400 条 iptables 规则。硬件配置如下:
- 8 核
- 内存:32975472
一切都很好,直到我添加以下规则:
/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j LOG --log-prefix ipt-dmz
几秒钟后,我的网关进入完全不可用的状态,并且我失去了对盒子的控制。
有什么想法可以调整它吗?这个想法是通过“日志”接口(专门用于此类流量的接口)记录每个 TCP-SYN 数据包,并将这些日志存储在其他地方。网关从闪存驱动器运行,因此我无法在网关上存储此类数据。
谢谢任何提示。
答案1
可能是该规则的匹配次数过多。请尝试为该规则添加限制。例如:
/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 10/min -j LOG --log-prefix ipt-dmz