Centos

–limit 1/s 和 –limit-burst 在 iptables 規則中到底是什麼意思?

  • March 11, 2020

我正在使用 CentOS 5.x 試圖在我的一台伺服器上圍繞以下 iptables 規則思考:

-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

在另一台伺服器上,我有:

-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT

我知道這兩個規則都旨在允許(和限制)傳入的 ping 請求,但是有什麼limit-burst選項呢?這些津貼是按主機計算的嗎?或者它們是否適用於任何/所有傳入的 ICMP 連接?

數學在 netfilter 文件中得到了充分解釋,但可以合理地說,該參數指定了在每秒 1 次“開始”limit-burst之前允許通過的匹配數。limit這兩個規則都只適用於 ICMP 回應要求數據包(傳入的 PING 請求)。這些不是每個主機的限制,適用於規則匹配的任何內容(在這種情況下,將是所有 ICMP 回應要求)。

--limit:指定將令牌重新填充到儲存桶中的速率。4/hour表示每小時 4 個令牌(每 15 分鐘 1 個令牌)。

--limit-burst:指定桶中最多可以填充的token數量。(這也是儲存桶開始時的令牌數量)。

引用自:https://serverfault.com/questions/485400