<div dir="ltr">That's because this rule matches on connection count >2000 with mask 0 => so results in: more than 2000 connections to anywhere<div><br></div><div>the second limit is for log action only.</div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, 2 Feb 2018 at 22:12 Toralf Förster <<a href="mailto:toralf.foerster@gmx.de">toralf.foerster@gmx.de</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I do wonder why the follwoing iptables rule does fire more often than expected althought there're much less (<100) new outgoing Tor exit connections within 1 second at my Tor exit relay:<br>
<br>
 /sbin/iptables -A OUTPUT -p tcp --destination-port 443 --syn --match connlimit --connlimit-above 2000 --connlimit-mask 0 --connlimit-daddr --match limit --limit 1/second --limit-burst 1 -j LOG<br>
<br>
--<br>
Toralf<br>
PGP C4EACDDE 0076E94E<br>
<br>
_______________________________________________<br>
tor-relays mailing list<br>
<a href="mailto:tor-relays@lists.torproject.org" target="_blank">tor-relays@lists.torproject.org</a><br>
<a href="https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays" rel="noreferrer" target="_blank">https://lists.torproject.org/cgi-bin/mailman/listinfo/tor-relays</a><br>
</blockquote></div>