Я нашел это в iptables моего сервера:
-A INPUT -i eth2.600 -p udp -m udp --sport 53 -m limit --limit 10000/sec --limit-burst 200 -j ACCEPT
-A INPUT -i eth2.600 -p udp -m udp --sport 53 -j DROP
Будут ли приниматься пакеты с порта 53 или нет? Или они будут приниматься до тех пор, пока первое правило в порядке (лимит не достигнут), а затем будут сброшены?
решение1
Действие будет предпринято только в том случае, есливсеусловия правила совпадают – другие пакеты «проваливаются» в следующее правило. То же самое применимо, если порт не совпадает, протокол не совпадает или ограничение скорости не совпадает.
Таким образом, если пакет удовлетворяет, -m limitон будет ПРИНЯТ, но если он не удовлетворяет ограничению, тонетдействие будет выполнено по первому правилу — пакет просто перейдет ко второму правилу (DROP).
Наличие явного DROP зависит от набора правил — это не обязательно (например, в конце может быть всеобъемлющий DROP или глобальная политика отбрасывания), но это обеспечивает некоторую ясность, если набор правил очень длинный, и предотвращает случайное принятие тех же пакетов другим правилом ниже.