–limit 1/s 和 –limit-burst 在 iptables 規則中到底是什麼意思？

我正在使用 CentOS 5.x 試圖在我的一台伺服器上圍繞以下 iptables 規則思考：

-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

在另一台伺服器上，我有：

-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT

我知道這兩個規則都旨在允許（和限制）傳入的 ping 請求，但是有什麼limit-burst選項呢？這些津貼是按主機計算的嗎？或者它們是否適用於任何/所有傳入的 ICMP 連接？

數學在 netfilter 文件中得到了充分解釋，但可以合理地說，該參數指定了在每秒 1 次“開始”limit-burst之前允許通過的匹配數。limit這兩個規則都只適用於 ICMP 回應要求數據包（傳入的 PING 請求）。這些不是每個主機的限制，適用於規則匹配的任何內容（在這種情況下，將是所有 ICMP 回應要求）。

--limit：指定將令牌重新填充到儲存桶中的速率。4/hour表示每小時 4 個令牌（每 15 分鐘 1 個令牌）。

--limit-burst：指定桶中最多可以填充的token數量。（這也是儲存桶開始時的令牌數量）。

引用自：https://serverfault.com/questions/485400