主页 / user-92682

ibrahim's questions

Martin Hope
ibrahim
Asked: 2016-06-29 02:38:13 +0800 CST
  • 4

我有一个在命令下面创建的列表

ipset create foo hash:ip maxelem 40000000 timeout 180

这就是空 foo 的样子

#ipset list foo
Name: foo
Type: hash:ip
Revision: 1
Header: family inet hashsize 1024 maxelem 40000000 timeout 180
Size in memory: 16504
References: 0
Members:

然后我添加了一个 /16 子网,这意味着 65535 个 IP 地址。正如我们在下面的命令中看到的,hashsize 动态变化并且 IP 地址添加成功。

#ipset add foo 192.168.0.0/16


#ipset list foo | head -10
Name: foo
Type: hash:ip
Revision: 1
Header: family inet hashsize 32768 maxelem 40000000 timeout 180
Size in memory: 2925208
References: 0
Members:
192.168.165.92 timeout 175
192.168.241.240 timeout 175
192.168.84.49 timeout 175

# ipset list foo | wc -l
65543

现在我正在销毁这个集合并使用上面的相同命令再次创建,以便我再次将 hashsize 均衡为 1024。然后我将以下规则添加到 iptables 并使用 hping3 发送随机包

iptables -A PREROUTING -t raw -j SET --add-set foo src

hping3  --flood  --rand-source <server-ip>

虽然攻击仍在继续,但看起来 iptables 在某个时间点后无法添加更多 IP 地址。并且 hashsize 保持不变

# ipset list foo |  wc -l
12295

# ipset list foo |  head -10
Name: foo
Type: hash:ip
Revision: 1
Header: family inet hashsize 1024 maxelem 40000000 timeout 180
Size in memory: 262264
References: 1
Members:
5.125.171.17 timeout 174
92.5.220.202 timeout 174
164.124.160.24 timeout 174

如果我通过手动增加 hashsize 来重复这个测试,它会使 iptables 可以添加更多的 IP 地址。

我在 CentOS 7 上使用以下版本进行了此测试

kernel 3.15.9
ipset 6.19
iptables 1.4.21

我的问题是,这个引用的原因是什么?这是安全预防措施还是什么?

firewall centos iptables centos7
Martin Hope
ibrahim
Asked: 2013-08-02 06:02:15 +0800 CST
  • 5

我的问题与此问题完全相同,只是我想更改 FreeBSD 中的服务。

我做了一些研究,发现 rcorder 命令可以提供以下参数的完整服务顺序。

rcorder /etc/rc.d/* /usr/local/etc/rc.d/*

此外,我可以添加任何 rc.d 脚本的 REQUIRE 选项,以便在它之前启动我的服务。我不喜欢这种方式,因为我不想更改其他程序的 rc.d 脚本。有没有更合适的方法来做到这一点?

谢谢...

freebsd
Martin Hope
ibrahim
Asked: 2013-05-25 01:06:32 +0800 CST
  • 1

我正在尝试将要发送到内部网络的数据包重定向到防火墙的本地主机。

我写了这条规则,但它不起作用。

int_net = "{10.0.0.0/24}"
ext_if = "{igb0}"
int_if = "{igb1}"

rdr on $ext_if proto tcp from any to $int_net port www -> 127.0.0.1 port 9999

当我在浏览器上写 10.0.0.2 时,它应该从防火墙得到一个测试页面。但据我所知,我做不到。

我在这里错过了什么?

firewall
Martin Hope
ibrahim
Asked: 2013-01-19 05:07:29 +0800 CST
  • 2

我正在尝试在具有内核版本 3.5.3 的 CentOs 5 内核上使用 dhcrealy。

我这样配置 /etc/sysconfig/dhcrelay 文件

dhcrelay -i eth1 192.168.0.1

当 dhcrealy 停止时,我运行/etc/init.d/dhcrelay status并得到此输出。

Internet Systems Consortium DHCP Relay Agent V3.0.5-RedHat
Copyright 2004-2006 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/
Listening on LPF/eth1/08:00:27:49:5e:e7
Sending on   LPF/eth1/08:00:27:49:5e:e7
Sending on   Socket/fallback
dhcrelay (pid 27536) is running...

然后我检查ps aux | grep dhcrelay并看到 dhcrelay 已启动。虽然它返回正常,但我无法通过调用来停止它/etc/init.d/dhcrelay stop,每当我检查状态时它都会启动新进程。那我只能通过调用killall dhcrelay命令来停止它

我安装的dhcp包是dhcp-3.0.5-23.el5_6.4

我想知道是否有人面临同样的问题?

linux
Martin Hope
ibrahim
Asked: 2012-12-15 06:35:05 +0800 CST
  • 3

我想问一下dhcreay的运行机制。我们可以用两个命令运行 dhcrelay,然后它将作为 2 个进程运行

dhcrelay -i eth3 172.16.17.3
dhcrelay -i eth1 172.16.17.5

#ps ax | grep dhcre
26464 ?        Ss     0:00 /usr/sbin/dhcrelay -i eth3 172.16.17.3
26465 ?        Ss     0:00 /usr/sbin/dhcrelay -i eth1 172.16.17.5

或者使用一个命令,换句话说,单个进程

dhcrelay -i eth3 -i eth1 172.16.17.3 172.16.17.5

#ps ax | grep dhcre
28127 ?        Ss     0:00 /usr/sbin/dhcrelay -i eth1 -i eth3 172.16.17.3 172.16.17.5

我想知道这两种方式除了进程计数之外是否有任何技术差异?

linux
Martin Hope
ibrahim
Asked: 2012-09-05 01:31:55 +0800 CST
  • 2

有一个脚本调用其他脚本,他们调用其他脚本......我不知道到底调用了哪些脚本以及调用了多少脚本。我只知道其中一些正在添加 iptables 规则,当我调用 root 脚本时出现此错误。

iptables: No chain/target/match by that name.
iptables: No chain/target/match by that name.

我的问题是我找不到哪个脚本输出这个错误。有什么方法或工具可以学习吗?

linux