Da página man do iptables:
[!] --rcheck
Check if the source address of the packet is currently in the
list.
[!] --update
Like --rcheck, except it will update the "last seen" timestamp
if it matches.
Portanto, usar update não redefinirá o hitcount, mas (re) definirá o último registro de data e hora visto. O que se segue é dito sobre --seconds :
--seconds seconds
This option must be used in conjunction with one of --rcheck or
--update. When used, this will narrow the match to only happen
when the address is in the list and was seen within the last
given number of seconds.
Isso significa que usar --rcheck faz a regra corresponder apenas ao intervalo de tempo especificado na regra (por exemplo, com --seconds ) por vez, enquanto usar --update estenderá o intervalo de tempo em que a regra será correspondida se corresponder pacotes são encontrados durante o intervalo.
Portanto, se houver um pacote correspondente a cada 45 segundos, as regras de exemplo mostradas na pergunta continuarão registrando os pacotes e retornando da cadeia. OTOH se --rcheck tivesse sido usado, cada segundo pacote não seria correspondido (como o intervalo de 60 segundos para dois pacotes correspondentes expirou).