主页 / server / 问题 / 1060841
Accepted
sunknudsen
Asked: 2021-04-20 06:48:26 +0800 CST

如何重置 iptables 速率限制计数器?

  • 772

我使用以下实现了 SSH 连接速率限制。

iptables -N SSH_BRUTE_FORCE_MITIGATION
iptables -A SSH_BRUTE_FORCE_MITIGATION -m recent --name SSH --set
iptables -A SSH_BRUTE_FORCE_MITIGATION -m recent --name SSH --update --seconds 300 --hitcount 10 -m limit --limit 1/second --limit-burst 100 -j LOG --log-prefix "iptables[ssh-brute-force]: "
iptables -A SSH_BRUTE_FORCE_MITIGATION -m recent --name SSH --update --seconds 300 --hitcount 10 -j DROP
iptables -A SSH_BRUTE_FORCE_MITIGATION -j ACCEPT

如何重置速率限制计数器?

编辑:尝试过sudo iptables -Z,但引发以下错误。

$ sudo iptables -Z
[sudo] password for pi:
iptables v1.8.2 (nf_tables):  RULE_REPLACE failed (Invalid argument): rule in chain INPUT
iptables

1 个回答

  1. Best Answer

    要重置-m recent --name SSH数据:

    echo / | sudo tee /proc/net/xt_recent/SSH

    man 8 iptables-extensions“最近”部分:

    /proc/net/xt_recent/* are the current lists of addresses
 and information about each entry of each list.

Each file in /proc/net/xt_recent/ can be read from to see
 the current list or written two using the following commands to modify the list:

echo +addr >/proc/net/xt_recent/DEFAULT
    to add addr to the DEFAULT list 
echo -addr >/proc/net/xt_recent/DEFAULT
    to remove addr from the DEFAULT list 
echo / >/proc/net/xt_recent/DEFAULT
    to flush the DEFAULT list (remove all entries).

    这与可以使用 清除的每个规则数据包/字节计数器不同iptables -Z
    这也-m limit用于限制日志记录的速率)或-m hashlimit计数器不同。那些不提供这样的proc接口。可能的解决方法:

    1. 卸载模块xt_recent//会丢弃各自关联的 xt_limit数据xt_hashlimit
      • 只有在当前没有规则使用它时才有可能
      • 需要构建为模块 - 不支持卸载内置函数
    2. 更改规则以使用不同的--name/ --hashlimit-name(附加一个数字就可以了)
      • 不是原子事务
      • 根据更换顺序,可能暂时意味着意外行为
    • 2

相关问题