Моя установка следующая:

  1. Интернет восходящий канал (200 Мбит)
  2. DMZ (1 ГБ Ethernet)
  3. Внутренняя сеть (1 ГБ интернет)
  4. Интерфейс журнала

Мой шлюз обслуживает около 600 клиентов с 1400 правилами iptables. Конфигурация HW выглядит следующим образом:

  • 8 ядер
  • RAM: 32975472

Все хорошо, пока не добавлю следующее правило:

/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN  -j LOG --log-prefix ipt-dmz  

Через несколько секунд мой шлюз переходит в совершенно непригодное состояние, и я теряю контроль над коробкой.

Есть идеи о том, как это настроить? Идея состоит в том, чтобы регистрировать каждый пакет TCP-SYN через интерфейс "log" (выделенный интерфейс только для этого вида трафика) и хранить эти журналы в другом месте. Шлюз запускается с флешки, поэтому я не могу хранить такие данные на шлюзе.

Спасибо за любые подсказки.

1 ответ1

0

Может быть, вы получаете слишком много совпадений с этим правилом. Попробуйте добавить ограничение к этому правилу. Например:

/sbin/iptables -I FORWARD -i eth-int -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 10/min -j LOG --log-prefix ipt-dmz

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .