Итак, я активно запрещаю IP злонамеренных пользователей. Раньше я использовал для этого только IPtables, но после того, как попробовал APF, у меня возникли проблемы. Похоже, что существует ограничение на количество правил, которые вы можете установить с помощью APF.
У меня есть список из примерно 200 IP-адресов, которые нужно заблокировать, но после ввода apf -d в список запретов попадают только самые последние добавленные.
Глядя на hosts.deny, он пуст, поэтому я полагаю, что мог бы добавить их туда, но, похоже, это делает APF бесполезным, если мне приходится использовать другие методы для того, что я ожидаю от него.
APF - это оболочка для iptables, и, глядя на iptables, я вижу, что там заблокировано 102 IP-адреса.
Кто-нибудь знает, что ограничивает количество правил TDENY?
В конфигурационном файле APF, обычно расположенном в /etc/apf/conf.apf, найдите SET_TRIM. По умолчанию это 150, которое можно изменить на неограниченное или определенное количество.
Кроме того, значение обновления можно изменить, чтобы изменить время между обновлением правил. Когда он активен, он выполнит очистку iptables, удалив все правила, которые вы установили напрямую с помощью iptables.
# This controls how often, if at all, we want the trust system to refresh rules.
# The firewall will flush & reload all static rules, redownload global rules and
# re-resolve any dns names in the rules. This is ideal when using dynamic dns
# names or downloadable global trust rules. [value in minutes, 0 to disable]
SET_REFRESH="10"
# This is the total amount of rules allowed inside of the deny trust system.
# When this limit is reached, the deny rule files will begin to purge older
# entries to maintain the set limit. [value is max lines, 0 for unlimited]
SET_TRIM="150"