Изпечатай

[reg48]

--limit-burst в този пример

Код:

-m limit --limit 1/s --limit-burst 100

брои 100 пъти определено IP преди да започне да го ограничава.
Въпроса ми е тези 100 пъти ограничени ли са в някакъв промеждутък от време или дори и веднъж дневно да попада в паравилото след 100 дни ще се активира?

Благодаря!

[dejuren]

Ето ти материал за особеностите на limit и limit-burst:
http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html

С твоето правило разрешаваш 100 пакета да надскочат лимита от 1 пакет в секунда след което ги ограничаваш. 100 пакета за случая ми се струват множко.

[reg48]

В препратката мисля, че намерих отговора:
"    # iptables -A FORWARD -m limit -j LOG
The first time this rule is reached, the packet will be logged; in fact, since the default burst is 5, the first five packets will be logged. After this, it will be twenty minutes before a packet will be logged from this rule, regardless of how many packets reach it. Also, every twenty minutes which passes without matching a packet, one of the burst will be regained; if no packets hit the rule for 100 minutes, the burst will be fully recharged; back where we started."

Ако правилно съм разбрал, всеки 20 минути брояча се ресетва, ако не е стигнал burst стойността и отделно на всеки 100 минути се ресетва напълно.

...С твоето правило разрешаваш 100 пакета да надскочат лимита от 1 пакет в секунда след което ги ограничаваш. 100 пакета за случая ми се струват множко.

Може и да са много, сега след като знам как действа, ще ги оптимизирам.
Благодаря отново.

[ircn]

Не си го разбрал правилно.

iptables -A INPUT -p ICMP -icmp-type echo-request \
-m limit -limit 1/minute -limit-burst 5 -j ACCEPT

-limit 1/minute will do what it says; it will only match for a rate of incoming packets up to an average of 1 per minute. The operative word here is average. So, does this mean that the first ping request you get will be accepted, then none for a whole minute? Not quite.

-limit-burst 5 tells iptables to let 5 such packets in before permitting the rule to match; so, in one minute, we can have 5 ping requests popping through. So, -limit 1/minute permits a maximum of 1 packet per minute on average, but -limit-burst 5 permits 5 in one shot. Have we found a logical error in iptables? No you silly clod, remember, -limit stes a limit on average, whereas -limit-burst limits by number of packets in one go. What will happen then in our example?

The firewall will let the first 5 packets in in the first minute, thanks to -limit-burst 5; this means, however, that the packets/minute now is 5, so any further packets are blocked until packets/minute = 1, i.e. 5 minutes later. In the sixth minute, packets/minute will be 5/6 < 1, so another ping request will be let in. When the extra ping request is admitted, the ratio becomes 6/6 = 1 again, and packets are DROPped again until the next minute. Again, average is the operative word.