Использование скорости, отличной от 1 / секунда по умолчанию в iptables
Этот код отлично справляется со своей задачей по ограничению синхронных подключений, но в строке 4 вместо 1 / si нужно, чтобы это было 1/5 секунды, это задание, над которым я работаю, которое необходимо для защиты от синхронного флуда атаки
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -j DROP
Если вы честно верите, что 1 сингл в секунду - это "слишком много"... у вас серьезные проблемы с сервером. При этом минимальный предел для - составляет 1 секунду. Без перезаписи этого модуля, вы не сможете делать меньше 1 пакета в секунду.
Честно говоря, если вы пытаетесь получить 1 пакет в 1/5 секунды... почему бы просто не указать 5/с? (5 пакетов в секунду) это почти то же самое.
Если вы просто пытаетесь ограничить соединения на хост, попробуйте использовать connlimit вместо limit... или, возможно, hitcount, чтобы ограничить соединения на хост.