помогите справиться с IPTABLES

Некорректно увязывать NAT непосредственно с модулем limit. Limit'ировать можно и в цепёчке FORWARD. Потрясающего эффекта можно добиться образчиком таких правил :

iptables -A FORWARD -p tcp -s greedy_scum -d server_holding_too_much_huge_files -m limit --limit 1/m --limit-burst 1 -j ACCEPT iptables -A FORWARD -p tcp -s greedy_scum -d server_holding_too_much_huge_files -j DROP :)))

а NAT правила использовать параллельно .

И сволочи потеряют интерес к скачиванию вообще чего бы то ни было.

Можно конечно просто QoS юзать(сволочам трафик резать!), а можно и в связке с iptables .

FiL0

Вдогонку : Конечно я имел ввиду наоборот :

iptables -A FORWARD -p tcp -s server_holding_too_much_huge_files -d greedy_scum -m limit --limit 1/m --limit-burst 1 -j ACCEPT

iptables -A FORWARD -p tcp -s server_holding_too_much_huge_files -d greedy_scum -j DROP

Теперь порядок.

FiL0

дааа режем сволочам режем , но они казлы выкручиваются , ставят 40 коннектов за раз и пробивают ограничения раза в два , казлы епт :(

Я понимаю,как они действуют, вот и привел тебе правила в какчестве примера. Мона ишо так зделать :

iptables -A FORWARD -p tcp -s server_holding_too_much_huge_files -d greedy_scum -m limit --limit 1/h --limit-burst 1 -j ACCEPT (пропускать 1 пакет в час)

iptables -A FORWARD -p tcp -s server_holding_too_much_huge_files -d greedy_scum -j DROP

С этим набором сволочи потеряют интерес не только к скачиванию, но и к жизни .

FiL0

А можно ведь резать и исходящий от них трафик: iptables -A FORWARD -s greedy_guy -m --limit 10/h

А можно ведь резать и исходящий от них трафик: iptables -A FORWARD -s greedy_guy -m --limit 10/h -j ACCEPT -- забыл я ACCEPT :=) остальное - DROP

ок , а можно поподробнее о манипуляциях limit ? хочу пустить 8 коннектов максимум :) мне кажеться этого будет достаточно :)