我们修改了ConfigServer防火墙配置中的几个选项。自从CSF阻止了很多IP地址以来。以下是打印屏幕:
http://oi60.tinypic.com/kdlnh3.jpg
我可以对 CSF 进行哪些修改以使它不阻止大量 IP?
谢谢你!
答案1
根据 CSF 指南:
您可以根据需要进行PS_LIMIT
更改。PS_INTERVAL
端口扫描跟踪。
此功能会跟踪 iptables 记录到 syslog 的端口阻塞。如果某个 IP 地址在 PS_INTERVAL 秒内产生的端口阻塞记录超过 PS_LIMIT,则该 IP 地址将被阻止。
例如,如果您将标准 SSH 端口移至 22 以外的端口,并从 TCP_IN 列表中删除了 22,则对旧端口的连接尝试将被记录,此功能可用于阻止黑客尝试访问该端口
此功能可阻止 iptables 日志中的所有 iptables 阻止,包括对一个端口的重复尝试或 SYN 洪水阻止等
注意:此功能仅跟踪下面 IPTABLES_LOG 中设置的日志文件中的 iptables 阻止,前提是您已启用 DROP_LOGGING。但是,启用 DROP_IP_LOGGING 会导致冗余阻止
警告:精心设计的 DDOS(即来自多个 IP)可能会很快填满 iptables 规则链并导致 DOS。DENY_IP_LIMIT 应该有助于缓解使用永久阻止的此类问题,DENY_TEMP_IP_LIMIT 应该有助于缓解使用临时阻止的此类问题
将 PS_INTERVAL 设置为“0”可禁用此功能。60 到 300 之间的值是启用此功能的合理值