什么是--限制5/s的意思？

Question

我需要解释一下iptables这个规则的时间含义

iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 5/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP
iptables -A udp-flood -p udp -m limit --limit 5/second --limit-burst 10 -j RETURN
iptables -A udp-flood -p udp -j DROP

我是说在这两条线上

iptables -A udp-flood -p udp -m limit --limit 5/s -j RETURN

iptables -A udp-flood -p udp -m limit --limit 5/second --limit-burst 10 -j RETURN

如果我将其设置为60/s或60/second会发生什么？

Answer 1

它用于限制匹配率，例如用于抑制日志消息。它将只匹配给定的每秒次数(默认情况下，每小时3次匹配，突发5次)。它采用两个可选参数：

--限制

followed by a number; specifies the maximum average number of matches to allow per second. The number can specify units explicitly, using `/second', `/minute', `/hour' or `/day', or parts of them (so `5/second' is the same as `5/s').

-极限-爆裂

followed by a number, indicating the maximum burst before the above limit kicks in.

这可能会帮你更多的忙，http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-7.html