Remus Anca wrote: > > am tot citit, si ma intreb daca am inteles corect mecanismul lui > limit: > > am cazul: > > iptables -N flood > iptables -A flood -m limit --limit 1/second --limit-burst 5 -j RETURN > iptables -A flood -j LOG --log-prefix "SYN flood " > iptables -A flood -j DROP > > in care eu inteleg asa: > > daca vin o serie de pachete cu frecventa mai mare de 1/sec, incepe sa > se contorizeze numarul lor, si cind ajunge la 5 (din limit-burst), > pachetele trec de regula cu RETURN (deci nu mai fac MATCH), > fiind logate, apoi drop'ate > > corect?
Nu. Se declanseaza la o rata medie mai mare sau egala cu 1/secunda dar accepta un virf initial de 5/secunda. Limita interna esta ajustata astfel: in fiecare unitate de timp in care nu trec pachete se creste limita cu 1 pina ajunge la --limit-burst. In fiecare unitate de timp in care trec pachete se scade limita cu 1 pina se ajunge la valoarea specificata in --limit. -- Paul Chitescu [EMAIL PROTECTED] http://pchitescu.null.ro/ ICQ:22641673 Any spammers will be painfully squeezed into /dev/null
