我的设置如下:
- 互联网上行链路(200Mbit)
- DMZ(1GB 以太网)
- 内部网络(1GB 互联网)
- 日志接口
我的网关为大约 600 个客户端提供服务,并设置了 1400 条 iptables 规则。硬件配置如下:
- 8 核
- 内存:32975472
一切都很好,直到我添加以下规则:
/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j LOG --log-prefix ipt-dmz
几秒钟后,我的网关进入完全不可用的状态,并且我失去了对盒子的控制。
有什么想法可以调整它吗?这个想法是通过“日志”接口(专门用于此类流量的接口)记录每个 TCP-SYN 数据包,并将这些日志存储在其他地方。网关从闪存驱动器运行,因此我无法在网关上存储此类数据。
谢谢任何提示。
答案1
可能是该规则的匹配次数过多。请尝试为该规则添加限制。例如:
/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 10/min -j LOG --log-prefix ipt-dmz