Abaixo estão os significados desses argumentos nas regras acima do iptables.
--syn
Isto é realmente curto para --tcp-flags SYN,RST,ACK,FIN SYN e diz que para os pacotes sendo examinados por esta regra iptables, os flags TCP SYN, RST, ACK e FIN devem ser verificados. Somente pacotes com o conjunto SYN do sinalizador TCP devem ser correspondidos.
--connlimit-above 20
Isso faz parte do argumento -m connlimit --connlimit-above 20 e diz para corresponder os pacotes ao limite de conexão. Se os pacotes estiverem relacionados a qualquer conexão em excesso das primeiras 20 conexões, elimine os pacotes.
--connlimit-mask 16
Isso permite que você restrinja quais máscaras de sub-rede dos quais os pacotes são originários serão permitidas. Este argumento se traduz apenas em limitar o número de conexões para 16 para cada sub-rede 255.255.0.0. Então, usando os dois juntos, você está controlando quantas conexões podem ser feitas a partir de uma sub-rede 255.255.0.0 ao mesmo tempo.
REJECT --reject-with tcp-reset
Isso diz que qualquer pacote que corresponda deve ser descartado. Ao dizer ao iptables para descartar o pacote com o tcp-reset, você está dizendo que a origem deve iniciar a conversa (e se eles fizerem o mesmo pedido, também será deinida).