Что точно делает - ограничивают 1/с и - разорванный пределом средний в правилах iptables?
Математика полностью объяснена в документации netfilter , но разумно сказать, что аргумент limit-burst указывает количество совпадений, которые разрешить до предела 1 в секунду "сработает". Оба эти правила применяются только к пакетам эхо-запросов ICMP (входящие запросы PING). Это не ограничения для каждого хоста, и они применяются ко всему, что соответствует правилу (в данном случае ко всем эхо-запросам ICMP).
- limit : указывает скорость, с которой токены пополняются в корзине. 4 / час означает 4 токена в час (1 токен каждые 15 минут).
- limit-burst : указывает максимальное количество токенов, которое может быть заполнено в корзине. (Это также количество токенов, с которых начинается корзина).
Я прочитал оба ответа, но фактические man itables-extensions заставили меня задуматься:
limit
Этот модуль соответствует с ограниченной скоростью с использованием фильтра ведра токенов. Правило, использующее это расширение, будет соответствовать, пока не будет достигнут этот предел. Его можно использовать в сочетании с целью LOG, например, для ограниченного ведения журнала.
xt_limit не поддерживает отрицание - вам придется использовать
-m hashlimit! --hashlimitв этом случае без --hashlimit-mode.
- ограничение скорости [/ секунда | / минута | / час | / день]- максимальная средняя скорость сопоставления: указывается в виде числа с дополнительными/ секунда,в минуту,/ часили/ деньсуффикс; по умолчанию 3 / час.
- limit-burst number- Максимальное начальное количество пакетов для сопоставления: это количество перезаряжается на один каждый раз, когда лимит, указанный выше, не достигается, вплоть до этого числа; значение по умолчанию - 5.