iptables -m limit --limit 1/sec .....

cicc

iptables limit 能否对每ip进行？
iptables -A INPUT -s 10.1.1.1/24 -p udp -m limit  --limit 1/sec -j ACCEPT
这样会将整个c总共的limit 设成1/sec
能否对每ip设limit?
总不能写250行吧，呵呵
请教了

采风

原帖由 "cicc" 发表：
iptables limit 能否对每ip进行？
iptables -A INPUT -s 10.1.1.1/24 -p udp -m limit  --limit 1/sec -j ACCEPT
这样会将整个c总共的limit 设成1/sec
能否对每ip设limit?
总不能写250行吧，呵呵
请教了

iptables -A INPUT -s 10.1.1.0/24 -p udp -m limit --limit 1/sec -j ACCEPT

cicc

10.1.1.0/24和10.1.1.1/24所表示的范围是一样的
我是说能否对这个c中每ip进行limit?

JohnBull

你没有搞清楚-m limit的含义。-m limit的作用是限制一条规则的匹配速率。所以你只能写250行了。

采风

原帖由 "cicc" 发表：
10.1.1.0/24和10.1.1.1/24所表示的范围是一样的
我是说能否对这个c中每ip进行limit?

“10.1.1.0/24和10.1.1.1/24所表示的范围是一样的 ”你理解有误
10.1.1.0/24表示一个网段，10.1.1.1表示一台机器

鼠辈

如果用 iptables -A INPUT -s 10.1.1.0/24 -p udp -m limit --limit 1/sec -j ACCEPT
这规则的意思是 10.1.1.0/24 这段子网的匹配速率是1/s 不是其中每个IP的
要想对其中每个IP只能写250个
JohnBull  是这个意思吧 不止我理解得对不对

platinum

这样写，默认burst好像是5
我一直没弄清楚burst和limit的关系
我理解是缓存里最多允许burst的并发数，满了之后按照limit的速率进行匹配，不知道这样想是否正确

cicc

理论上每秒可以通过的最多的包数是limit+burst
例如
--limit 3/min --limit-burst 3
实际包数小于limit,burst在每个周期后+1，最大值是3
实际包数大于limit,burst将减掉超过的包数，最小值是0
另外
10.10.10.0/24和10.10.10.1/24所表示的范围真的是一样的
呵呵，大家可以联想一下在router上写interface ip address时候的状况
还有我只提到表示的地址范围，没说其他
还有就是在iptable中是否真的没有其他办法可以满足我这种需求？
欢迎大家讨论

wingger

--limit 3/minute --limit-burst 3 ，

初始值是burst的值，每20秒增加一个，但不能无限增大，最大就是burst.

wingger

10.10.10.0/24和10.10.10.1/24所表示的范围真的是一样的
呵呵，大家可以联想一下在router上写interface ip address时候的状况

错了吧，你的router怎么写interface ip address啊