iptables - 我在配置中添加新规则后失去了对盒子的控制

iptables - 我在配置中添加新规则后失去了对盒子的控制

我的设置如下:

  1. 互联网上行链路(200Mbit)
  2. DMZ(1GB 以太网)
  3. 内部网络(1GB 互联网)
  4. 日志接口

我的网关为大约 600 个客户端提供服务,并设置了 1400 条 iptables 规则。硬件配置如下:

  • 8 核
  • 内存:32975472

一切都很好,直到我添加以下规则:

/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN  -j LOG --log-prefix ipt-dmz  

几秒钟后,我的网关进入完全不可用的状态,并且我失去了对盒子的控制。

有什么想法可以调整它吗?这个想法是通过“日志”接口(专门用于此类流量的接口)记录每个 TCP-SYN 数据包,并将这些日志存储在其他地方。网关从闪存驱动器运行,因此我无法在网关上存储此类数据。

谢谢任何提示。

答案1

可能是该规则的匹配次数过多。请尝试为该规则添加限制。例如:

/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 10/min -j LOG --log-prefix ipt-dmz

相关内容