Математика полностью объяснена в документации netfilter , но разумно сказать, что аргумент limit-burst
указывает количество совпадений, которые разрешить до предела
1 в секунду "сработает". Оба эти правила применяются только к пакетам эхо-запросов ICMP (входящие запросы PING). Это не ограничения для каждого хоста, и они применяются ко всему, что соответствует правилу (в данном случае ко всем эхо-запросам ICMP).
- limit
: указывает скорость, с которой токены пополняются в корзине. 4 / час
означает 4 токена в час (1 токен каждые 15 минут).
- limit-burst
: указывает максимальное количество токенов, которое может быть заполнено в корзине. (Это также количество токенов, с которых начинается корзина).
Я прочитал оба ответа, но фактические man itables-extensions
заставили меня задуматься:
limit
Этот модуль соответствует с ограниченной скоростью с использованием фильтра ведра токенов. Правило, использующее это расширение, будет соответствовать, пока не будет достигнут этот предел. Его можно использовать в сочетании с целью LOG, например, для ограниченного ведения журнала.
xt_limit не поддерживает отрицание - вам придется использовать
-m hashlimit! --hashlimit
в этом случае без --hashlimit-mode.
- ограничение скорости [/ секунда | / минута | / час | / день]
- максимальная средняя скорость сопоставления: указывается в виде числа с дополнительными/ секунда
,в минуту
,/ час
или/ день
суффикс; по умолчанию 3 / час.
- limit-burst number
- Максимальное начальное количество пакетов для сопоставления: это количество перезаряжается на один каждый раз, когда лимит, указанный выше, не достигается, вплоть до этого числа; значение по умолчанию - 5.