O módulo de limite define um cronômetro sobre a frequência com que a regra anexada do iptables pode corresponder a um pacote.
O parâmetro limit-burst define quantos pacotes podem corresponder. O tempo limite define quantas vezes o limite de burst se restaura.
Para reduzi-lo, vamos assumir primeiro que o bit de burst não existe (ou está definido como 1, equivale à mesma coisa). O parâmetro de limite real especificado simplesmente define o temporizador, tanto para a regra quanto para o limite de burst. Portanto, configurá-lo para 5 / segundo faria o temporizador 1 / 5º de segundo, e definindo-o para 4 / hora faria com que o temporizador 15 minutos. Nenhum pacote corresponderá à regra enquanto o cronômetro estiver em execução (portanto, se for uma regra de destino ACCEPT, nenhum pacote será aceito por 1/5 de segundo ou 15 minutos, dependendo).
Então, para complicar isso ... O parâmetro limite-burst age como um contador de pacotes. Para cada pacote que combina, a contagem diminui em um, e o cronômetro inicia (ou reinicia se já estiver em execução). A regra ainda corresponde a qualquer coisa que chegue. Quando o cronômetro termina, a contagem aumenta em um. Se o contador atingir 0, a regra pára de corresponder , até que o temporizador termine e a contagem retorne a 1 novamente e continue a contar pelo temporizador até que ele volte ao burst que você definiu. / p>
Portanto, configurar o burst para 1 significa que você está literalmente correspondendo 1 e apenas 1 pacote por intervalo de timer, e configurá-lo mais alto significa que você está criando um buffer nesse temporizador antes de ser estritamente ativado.
Como um exemplo aproximado, digamos que você tenha uma explosão de 10 e um temporizador de 1 / segundo, em uma regra ACCEPT. Vamos dizer que você recebe 20 pacotes correspondentes todos dentro de um segundo. Os primeiros dez jogos e são aceitos, o resto não. Dez segundos depois disso, o contador de rajadas volta para o máximo de 10. Agora, cinco jogos chegam (em um segundo), todos combinam sem nenhum problema, o contador agora estaria em 5. 2 segundos sem jogos, colocando o contador em 7. Mais 20 partidas acontecem; os primeiros 7 combinariam e aceitariam, o resto não.
Parafraseando em grande parte no documento , que tem mais exemplos na seção que documenta o módulo de limite.