ฉันเขียนกฎไฟร์วอลล์ต่อไปนี้:
iptables -A INPUT -m hashlimit --hashlimit 1/hour --hashlimit-burst 3 --hashlimit-mode srcip,dstport --hashlimit-name ssh -j ACCEPT
ฉันคาดหวังว่าการระเบิดจะชาร์จได้ 1 ครั้งหลังจากผ่านไปหนึ่งชั่วโมง แต่จริงๆ แล้วมีการชาร์จหนึ่งครั้งเร็วกว่าหนึ่งนาทีด้วยซ้ำ ฉันกำลังส่งข้อความจาก IP ต้นทางเดียวกันและพอร์ตปลายทางเดียวกัน ดังนั้นฉันจึงคาดหวังให้ยอมรับการเชื่อมต่อ 3 ครั้งและ 1 ครั้งต่อชั่วโมง แต่ยอมรับมากขึ้น (หนึ่งรายการทุกๆ 20-30 วินาที) ถ้าฉันใช้ --จำกัด 1 ชม./ชม ฉันสามารถสังเกตพฤติกรรมที่คาดหวังได้ แต่ฉันต้องใช้ hashlimit เพราะฉันต้องกรองตาม srcip และ dstport ผมทำอะไรผิดหรือเปล่า? ขอขอบคุณ!
ฉันคิดว่าคุณกำลังพบรายการที่หมดอายุ การยกเว้นจาก manpage:
--hashlimit-จำนวนระเบิด จำนวนแพ็กเก็ตเริ่มต้นสูงสุดที่จะจับคู่: จำนวนนี้จะถูกชาร์จใหม่โดย หนึ่งครั้งทุกครั้งที่ไม่ถึงขีดจำกัดที่ระบุไว้ข้างต้น ไม่เกินจำนวนนี้ ค่าเริ่มต้นคือ 5 เมื่อมีการร้องขอการจับคู่อัตราแบบไบต์ สิ่งนี้ ตัวเลือกระบุจำนวนไบต์ที่สามารถเกินอัตราที่กำหนด ควรใช้ตัวเลือกนี้ด้วยความระมัดระวัง หากรายการหมดอายุ รายการจะระเบิด ค่าจะถูกรีเซ็ตด้วย
และจำนวนเวลาที่บันทึกรายการแฮชใด ๆ จะถูกระบุด้วยตัวเลือก --hashlimit-htable-หมดอายุ. ฉันไม่รู้ว่าค่าเริ่มต้นสำหรับรายการนี้คืออะไร แต่ฉันคิดว่ามันสั้นกว่าหนึ่งชั่วโมงมาก ซึ่งจะอธิบายได้ว่าทำไมคุณถึงเชื่อมต่อได้เร็วกว่าจำนวนที่คาดไว้
คุณควรพิจารณาปรับแต่งค่าเหล่านั้นเพิ่มเติม โดยอนุญาตหนึ่งค่าต่อนาที เช่น ในกรณีนี้ เซิร์ฟเวอร์ของคุณจะต้องจดจำ IP ของนาทีสุดท้ายเท่านั้น ไม่ใช่ค่า IP ของชั่วโมงสุดท้าย
ปัญหาหนึ่งคือ
--แฮชลิมิต 1/ชม
ควรจะเป็น
--hashlimit-ไม่เกิน 1/ชั่วโมง
ถ้าใช้ -j ยอมรับ
ดู
ส่วนขยาย iptables ของมนุษย์
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
