Questão Limite e limite de burst em IPTABLES


Por alguma razão, não consigo entender o conceito de burst de limite e limite em IPTABLES. Alguém poderia me ajudar aqui!

Obrigado!


1


origem




Respostas:


O módulo de limite define um temporizador com que frequência a regra anexada do iptables pode corresponder a um pacote.

O parâmetro limite-burst define quantos pacotes podem corresponder. O tempo limite define com que frequência o limite de burst se restaura.

Para reduzi-lo, vamos assumir primeiro que o bit de burst não existe (ou está definido como 1, equivale à mesma coisa). O parâmetro de limite real especificado simplesmente define o temporizador, tanto para a regra quanto para o limite de burst. Portanto, configurá-lo para 5 / segundo faria o temporizador 1 / 5º de segundo, e definindo-o para 4 / hora faria com que o temporizador 15 minutos. Nenhum pacote corresponderá à regra enquanto o cronômetro estiver em execução (portanto, se for uma regra de destino ACCEPT, nenhum pacote será aceito por 1/5 de segundo ou 15 minutos, dependendo).

Então, para complicar isso ... O parâmetro limite-burst age como um contador de pacotes. Para cada pacote que combina, a contagem diminui em um, e o cronômetro inicia (ou reinicia se já estiver em execução). A regra ainda corresponde qualquer coisa que chegue. Quando o temporizador terminar, a contagem aumenta em um. Se o contador atingir 0, a regra para de corresponder, até que o temporizador termine e a contagem volte para 1 novamente, e continue a contar pelo temporizador até que ele volte ao burst que você definiu.

Então, configurar burst para 1 significa que você está literalmente correspondendo 1 e apenas 1 pacote por intervalo de timer, e configurá-lo mais alto significa que você está criando um buffer nesse temporizador antes de ser estritamente envolvido.

Como um exemplo aproximado, digamos que você tenha uma explosão de 10 e um temporizador de 1 / segundo, em uma regra ACCEPT. Vamos dizer que você recebe 20 pacotes correspondentes todos dentro de um segundo. Os primeiros dez jogos e são aceitos, o resto não. Dez segundos depois disso, o contador de rajadas volta para o máximo de 10. Agora, cinco jogos chegam (em um segundo), todos combinam sem nenhum problema, o contador agora estaria em 5. 2 segundos sem jogos, colocando o contador em 7. Mais 20 partidas acontecem; os primeiros 7 combinariam e aceitariam, o resto não.

Parafraseando em grande parte de esse documento, que tem mais exemplos na seção que documenta o módulo de limite.


3