Взрыв предела и предела в IPTABLES

модуль limit устанавливает таймер того, как часто подключенному правилу iptables разрешено совпадать с пакетом.

параметр limit-burst задает количество пакетов, которым разрешено совпадать. Время ограничения задает частоту восстановления пакета ограничений.

чтобы вскипятить его, давайте сначала предположим, что бит всплеска не существует (или установлен в 1, равнозначен тому же). Фактический указанный параметр limit просто устанавливает таймер как для Правила, так и для пакета limit-burst. Так устанавливать это до 5 / секунда сделает таймер 1/5 секунды, а установка его на 4 / час сделает таймер 15 минут. Ни один пакет не будет соответствовать правилу во время работы таймера (поэтому, если это целевое правило ACCEPT, ни один пакет не будет принят в течение 1/5 секунды или 15 минут, в зависимости от).

Так усложнить это... Параметр limit-burst действует как счетчик пакетов. Для каждого пакета, который совпадает, счетчик понижается одним, и таймер запускается (или перезапускается, если его уже бегущий.) Правило все еще соответствует все, что приходит в. Когда таймер заканчивается, счетчик увеличивается на единицу. Если счетчик достигает 0, правило перестает соответствовать, пока не закончится таймер и идет отсчет обратно до 1 раз, и по-прежнему рассчитывает на таймер, пока он не вернется к взрыву установить.

so установка burst в 1 означает, что вы очень буквально соответствуете 1 и только 1 пакету за интервал таймера, а установка его выше означает, что вы создаете буфер на этом таймере, прежде чем он будет строго занят.

в качестве примерного примера, допустим, у вас есть всплеск 10 и таймер 1 / second, по правилу ACCEPT. Допустим, вы получите 20 совпадающих пакетов в течение секунды. Первые десять матчей и принимаются, остальные-нет. Через десять секунд после этого счетчик пакетов возвращается к максимальному значению 10. Теперь 5 матчей приходят (в течение секунды), все они совпадают без проблем, счетчик теперь будет на 5. 2 секунд без спичек, ставить счетчик на 7. Еще 20 матчей; первые 7 будут соответствовать и принимать, остальные нет.

перефразируя в основном из документ, который имеет дополнительные примеры в разделе, который документирует модуль предела.