Dotaz: Dotaz ohledně iptables: Co je to limit a limit-burst?

Mám několik dotazů ohledně parametrů --limit a --limit-burst. Najdete je v každé diskusi o firewallech nebo iptables i v desítkách článků a návodů. Nikde ale není jasně napsáno, co znamenají.

Začnu u manuálové stránky, která obsahuje tento blábol:

   limit
       This module matches at a limited rate using a token bucket filter.  A rule
       using this extension will match until this limit is  reached  (unless  the
       `!'  flag  is used).  It can be used in combination with the LOG target to
       give limited logging, for example.

       --limit rate
              Maximum average matching rate:  specified  as  a  number,  with  an
              optional  `/second',  `/minute',  `/hour',  or  `/day'  suffix; the
              default is 3/hour.

       --limit-burst number
              Maximum initial number  of  packets  to  match:  this  number  gets
              recharged  by  one  every  time  the  limit  specified above is not
              reached, up to this number; the default is 5.

Co mi na tom není jasné:

• Co dělá --limit?
  1. Čeká po celou dobu trvání intervalu a zamítne všechny pakety nad stanovený počet. Po skončení intervalu vynuluje počítadlo a počítá zas od nuly.
  2. Je-li požadována průměrná prodleva mezi pakety t a přijde-li paket v čase T, berou se v úvahu jen pakety došlé v intervalu (T-t, T), informace o dříve došlých paketech se zahodí a přidá se informace o tom současném. Tedy jsou zaznamenávány časy příchodů paketů až do maximálního počtu paketů.
  3. Striktně vyžaduje, aby prodleva mezi každými dvěma pakety byla větší než nastavená hodnota.
• Co dělá --limit-burst?
  1. Umožňuje dočasný příjem paketů, mezi nimiž je kratší prodleva než vyžaduje --limit. Ale pouze dokud není překročena nějaká jiná průměrná hodnota.
  2. Určuje, kolik paketů lze přijmout dříve, než se bude jakkoliv kontrolovat interval uvedený v --limit.

Co z toho je pravda? Nebo je to úplně jinak? Nebo se to prostě neví a mám to hledat ve zdrojácích?

Všichni autoři návodů bezhlavě opisují těch několik řádek, které mají zlepšit ochranu proti nějrůznějším DoS útokům. Nikde jsem ale zatím neviděl rozumný popis toho, co ta nastavená čísla mají znamenat. Když jsem v několika případech našel naprosto odlišné informace o navlas stejném formátu příkazu iptables, došla mi trpělivost a rozhodl jsem se, že se prostě zeptám tady...

TLDR, nicméně lepší je pro představu asi začít --limit-burst N, což dovolí přijmout max N paketů ("čítač" se zvýší o N) a další se odmítají s tím, že při --limit 1/m se každou minutu "čitač" o jedna sníží -- takže může přijít další paket. To je celá věda...

Pokud na takovéto nastavení začnete masivně valit pakety, projde jich 10 a pak se to zašpuntuje a bude to co minutu přijímat jen jeden. Když toho na 10 minut necháte, tak zase můžete navalit deset než se to zašpuntuje.