da, sorry, abia acum mi-am dat seama ca ce ai spus tu e tot aia cu ce am
spus eu, cu un singur amendament:
in fiecare unitate de timp in care trec pachete se scade limita cu nr. de
pachete primit, nu cu 1, imho.
Paul Chitescu <[EMAIL PROTECTED]>
Sent by: [EMAIL PROTECTED]
07/29/2003 05:50 PM
Please respond to rlug
To: [EMAIL PROTECTED]
cc:
Subject: [rlug] Re: IPTABLES -m limit
Remus Anca wrote:
>
> am tot citit, si ma intreb daca am inteles corect mecanismul lui
> limit:
>
> am cazul:
>
> iptables -N flood
> iptables -A flood -m limit --limit 1/second --limit-burst 5 -j RETURN
> iptables -A flood -j LOG --log-prefix "SYN flood "
> iptables -A flood -j DROP
>
> in care eu inteleg asa:
>
> daca vin o serie de pachete cu frecventa mai mare de 1/sec, incepe sa
> se contorizeze numarul lor, si cind ajunge la 5 (din limit-burst),
> pachetele trec de regula cu RETURN (deci nu mai fac MATCH),
> fiind logate, apoi drop'ate
>
> corect?
Nu.
Se declanseaza la o rata medie mai mare sau egala cu 1/secunda dar
accepta un virf initial de 5/secunda.
Limita interna esta ajustata astfel: in fiecare unitate de timp in care
nu trec pachete se creste limita cu 1 pina ajunge la --limit-burst. In
fiecare unitate de timp in care trec pachete se scade limita cu 1 pina se
ajunge la valoarea specificata in --limit.
--
Paul Chitescu
[EMAIL PROTECTED] http://pchitescu.null.ro/ ICQ:22641673
Any spammers will be painfully squeezed into /dev/null
