2019-06-03 Настороженно Относиться К Необкатанным Решениям

Т.е. из-за правила log дропались пакеты в форварде!

Не совсем корректно звучит, -j LOG точно не дропает пакеты.

В hashlimit есть код, который выставляет *par→hotdrop = 1, скорее всего это оно. Довольно интересно в том плане, что можно дропать пакеты в match-правиле, я думал вердикты выставляются только в target'ах. По iptables -m hashlimit –help не ясно, можно ли это поведение выключать.