持续测试包的进出速率,当超过速率限制时,则停止监测。
《表41》说明本过滤条件的选项。
=========================
诀窍
本过滤条件必须在核心支持CONFIG_IP_NF_MATCH_LIMIT组态时才有效。
=========================
举例来说,若要接受每秒十次之内的ICMP PING封包,规则如下:
iptables -A INPUT -p icmp - -icmp-type ping -m limit
- -limit l0/s -j ACCEPT
或,换个角度思考,拒收速率超过10次/每秒的1CMP PING包:
iptables -A INPUT -p icmp - -icmp-type ping -m limit
! - -limit l0/s -j DROP
利用limit过滤条件搭配LOG表格,能够模拟出一个违规记录器。
假如要以联机数代替封包数为限制条件,请参考iplimit和connlimit过滤条件,假如想限制特定对象的整体交通量,请考虑使用quota过滤条件。
LOG目标
将符合条件的包的相关资料记录于系日志统(透过syslog《表42》说明本目标的选项。
============================
诀窍
本目标必须在核心支持CONFIG_IP_NF_TARGET_LOG组态时才有效。
============================
《表43》列出日志讯息的各种程度的名称和编号。在Linux系上,这些信息定义于
===========================
诀窍
panic、error和warn这三个名称已被淘汰了(虽然iptables在显示讯息时,仍会将err改成error)。
===========================
注译:
package :“封包”或称呼为“包”
filter : 筛选或 过滤
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
