iptables“最近”模块的设置

在阅读（非常快）源代码后，我会说旧条目已被删除：

if (t->entries >= ip_list_tot) {
        e = list_entry(t->lru_list.next, struct recent_entry, lru_list);
        recent_entry_remove(t, e);
}

要增加此值，您可以在手动加载模块时设置参数：

~$ sudo modinfo -p xt_recent
ip_list_tot:number of IPs to remember per list (uint)
ip_list_hash_size:size of hash table used to look up IPs (uint)
ip_list_perms:permissions on /proc/net/xt_recent/* files (uint)
ip_list_uid:default owner of /proc/net/xt_recent/* files (uint)
ip_list_gid:default owning group of /proc/net/xt_recent/* files (uint)
ip_pkt_list_tot:number of packets per IP address to remember (max. 255) (uint)
~$ sudo modprobe xt_recent ip_list_tot=10000
~$ sudo cat /sys/module/xt_recent/parameters/ip_list_tot
10000

recent在卸载/加载之前，请确保该模块未在使用中（禁用防火墙，或者至少禁用使用匹配的规则）。

要使此设置持久化，您可以在 /etc/modprobe.d/xt_recent 下放置一个文件，其中包含以下内容：

options xt_recent ip_list_tot=10000

（请注意，此方法可能不起作用，可能会根据您的发行版进行调整）。

如果您因此增加此参数值可能会遇到的性能问题，很难说。这取决于您的硬件，系统上运行的其他任务等...

仍然基于阅读源代码和我自己的开发背景，我会告诉你，你可能害怕的主要事情是延迟的引入，例如，如果当前测试的 IP 是列表中的最后一个或者不是列表中的 t（可能经常出现）：

static struct recent_table *recent_table_lookup(struct recent_net *recent_net,
                        const char *name)
{
    struct recent_table *t;

    list_for_each_entry(t, &recent_net->tables, list)
        if (!strcmp(t->name, name))
            return t;
    return NULL;
}

鉴于x的复杂性list_for_each_entry() + strcmp，将 `ip_list_tot̀ 设置为一个巨大值的额外“成本”是浏览列表的时间。

最终复杂度可能在1 * x和之间变化ip_list_tot * x。

尽管如此，我想内核中的链表实现得很好，性能和速度是要求。

最后，我建议您进行基准测试……如果可能的话。