Centos
–limit 1/s 和 –limit-burst 在 iptables 規則中到底是什麼意思?
我正在使用 CentOS 5.x 試圖在我的一台伺服器上圍繞以下 iptables 規則思考:
-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
在另一台伺服器上,我有:
-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT
我知道這兩個規則都旨在允許(和限制)傳入的 ping 請求,但是有什麼
limit-burst
選項呢?這些津貼是按主機計算的嗎?或者它們是否適用於任何/所有傳入的 ICMP 連接?
數學在 netfilter 文件中得到了充分解釋,但可以合理地說,該參數指定了在每秒 1 次“開始”
limit-burst
之前允許通過的匹配數。limit
這兩個規則都只適用於 ICMP 回應要求數據包(傳入的 PING 請求)。這些不是每個主機的限制,適用於規則匹配的任何內容(在這種情況下,將是所有 ICMP 回應要求)。
--limit
:指定將令牌重新填充到儲存桶中的速率。4/hour
表示每小時 4 個令牌(每 15 分鐘 1 個令牌)。
--limit-burst
:指定桶中最多可以填充的token數量。(這也是儲存桶開始時的令牌數量)。