linux – 使用fail2ban的最大bantime
我使用fail2ban / firewalld来限制对Nginx服务器的类似bot的访问.通常,相应jail的配置如下所示:
这按预期工作(banaction默认为firewallcmd-ipset),即iptables -L命令在INPUT_direct链中显示一个条目:
使用fail2ban-nginx-botsearch的相应ipset. 然而,当bantime增加时,我注意到一种奇怪的行为.一切都按预期的方式工作< = 4294967.当我设置bantime = 4294968并重新加载fail2ban服务时,缺少iptables输出中的条目(未创建ipset)实际上,使用例如ab实用程序进行测试显示该禁令未得到执行.有趣的是,使用banaction = iptables-multiport甚至可以用于“大型”bantimes.这种行为可能是什么原因?我在CentOS 7上使用fail2ban v 0.9.7. 最佳答案
这不是严格的fail2ban相关问题,而是内核中netfilter代码中的一个错误.简而言之,您的ipset版本对于timeout参数有一个整数溢出,因此当它超过32位整数时会看到不可预测的行为.
您没有看到多端口,因为它不使用此代码,而是依靠自己的设备来跟踪超时. 这是netfilter代码中针对此问题的补丁的link. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- ssl – Nginx配置导致无限重定向循环
- PHP-CodeIgniter不会在’/’上加载默认控制器
- ruby-on-rails – 无法将HTTP响应转发回HTTP客户端:用户似
- apache-2.2 – 使用Nginx进行严格的安全性和虚拟主机隔离?
- node.js-同一VPS上的PHP网站和Nodejs应用
- IIS5.0进程回收工具使用方法
- nginx – 如何在Lua中对request_uri字符串进行urldecode
- nginx – 如果我们不关闭cgi.fix_pathinfo,服务器是否仍然
- Windows服务器下怎么安装与使用nginx
- 如何在不重新加载/重启fpm本身的情况下将池添加到FPM(nginx