O que exatamente faz --limit1 / selimite-burst significa nas regras do iptables?

6

Estou usando o CentOS 5.x tentando me concentrar na seguinte regra de iptables em um dos meus servidores:

-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Em outro servidor, tenho:

-A RH-Firewall-1-INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 3 -j ACCEPT

Eu entendo que essas duas regras são projetadas para permitir (e estrangular) solicitações de ping de entrada, mas sobre qual é a opção limit-burst ? E essas licenças são feitas por host? Ou eles se aplicam a qualquer / todas as conexões ICMP de entrada?

    
por Mike B 06.03.2013 / 23:09

1 resposta

10

A matemática é totalmente explicada nos documentos do netfilter , mas é razoável para dizer que o argumento limit-burst especifica o número de correspondências permitidas antes que o limit de 1 por segundo seja "ativado". Essas duas regras se aplicam apenas aos pacotes de solicitação de eco ICMP (solicitações PING recebidas). Estes não são limites por host e se aplicam a qualquer coisa que a regra corresponda (que, nesse caso, seria todas as solicitações de eco ICMP).

    
por 06.03.2013 / 23:24