https://www.opennet.ru/openforum/vsluhforumID1/88202.html Хочу отрегулировать количество обращений к серверу в единицу времени. Подумал-подумал, решил сделать силами iptables. Из соображений универсальности..<br>Знаю, что про это много написано, но хотелось бы поделиться опытом (Чужим :))))<br>Есть сервер. Интернет снаружи, локалка с внутренними адресами и маскарадингом внутри. Sendmail, vsftpd, pop3d, named, apache<br><br>/etc/sysconfig/iptables<br><br>...маскарадинг..<br><br>:INPUT DROP [2039:115993]<br>:FORWARD DROP [90:30180]<br>:OUTPUT DROP [1154409:741683096]<br><br>#-A INPUT -p tcp -m recent --set<br>-A INPUT -p tcp -m recent --update --seconds 30 --hitcount 10 -j REJECT<br>...дальше много правил...<br><br>Как видно из текста скрипта, ограничение идет на все скопом, без уточнения порта<br><br>Вопросы: Если строка с --set не активизирована, правило вообще не работает? Из прочтения man явно следует, что --update заменяет --set, но еще и обновляет запись. На практике (кажется) получается, что без --set правило не пашет... Все так?<br>Есть соображения, что использовать для таких целей iptables хуже, https://www.opennet.ru/openforum/vsluhforumID1/88202.html#1 Wed, 24 Feb 2010 07:06:35 GMT Я спросил что-то настолько глупое, что ответ невозможен?<br>Попробую спросить только второй вопрос...<br><br>Есть соображения, что использовать для таких целей iptables хуже, чем использовать возможности каждого сервера отдельно?<br>