На вики микротика рекомендуют так:
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=jump jump-target=SYN-Protect
add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new action=return
add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new action=drop
Разве так не правильней будет?
add chain=input protocol=tcp tcp-flags=syn action=jump jump-target=SYN-Protect
add chain=forward protocol=tcp tcp-flags=syn action=jump jump-target=SYN-Protect
add chain=SYN-Protect limit=400,5 action=return
add chain=SYN-Protect action=drop
И еще пара вопросов.
В данном случае лимит срабатывает, если частота пакетов не превышает 400 в секунду? Это не слишком высокая планка? Может лучше написать что-то вроде 100/min?
connection-limit=100,32 срабатывает, когда источник установил 100 соединений или всего установлено 100 соединений?
