> скажем, раз в 20 минут, с правилом для всего http трафика с продолжительностью на 10-20 секунд
При этом всё же есть вероятность, что часть трекеров будет пропущена, а хватит и одного трекера, чтоб начать кушать полосу.
> сильно грузит проц из-за использования шела, лучше добавлять записи в таблицу внутри скрипта perl
Ну, я об этом выше писал, у ЖЖ на размер поста ограничения, а модифицировать самостоятельно не столь сложно.
> эффективность очень низкая > 12050 121991 97920245 skipto 15000 udp from 192.168.8.0/21 to table(68) in via em0 limit src-addr 5 > 12051 457802 323512845 skipto 15000 udp from table(4) to any in via em0 limit src-addr 15
Вы проверяете только по счетчикам и только в варианте с динамическими правилами? Дело в том, что limit работает так: проверяется, не превышен ли для текущего пакета лимит, если да, то пакету тут же безусловно делается deny, но вот счетчики на правиле - им всё равно инкрементируются. Попробуйте посмотреть без динамических правил.
no subject
При этом всё же есть вероятность, что часть трекеров будет пропущена, а хватит и одного трекера, чтоб начать кушать полосу.
> сильно грузит проц из-за использования шела, лучше добавлять записи в таблицу внутри скрипта perl
Ну, я об этом выше писал, у ЖЖ на размер поста ограничения, а модифицировать самостоятельно не столь сложно.
> эффективность очень низкая
> 12050 121991 97920245 skipto 15000 udp from 192.168.8.0/21 to table(68) in via em0 limit src-addr 5
> 12051 457802 323512845 skipto 15000 udp from table(4) to any in via em0 limit src-addr 15
Вы проверяете только по счетчикам и только в варианте с динамическими правилами? Дело в том, что limit работает так: проверяется, не превышен ли для текущего пакета лимит, если да, то пакету тут же безусловно делается deny, но вот счетчики на правиле - им всё равно инкрементируются. Попробуйте посмотреть без динамических правил.