Iptables и сканирование портов и последний модуль

Я пытаюсь написать адаптивный брандмауэр, используя iptables, и не знаю, как работает последний модуль. Например, см. Http://blog.zioup.org/2008/iptables_recent/

Фрагмент из моих iptables:

...input stuff, established, etc... -A INPUT -m conntrack --ctstate NEW -j limiter ... more input stuff... # very end of chain, nothing matches. Likely unauthorized port -A INPUT -m conntrack --ctstate NEW -m recent --name PORTSCAN --set # limiter table -A limiter -m recent --update --name PORTSCAN -A limiter -m recent --rcheck --name PORTSCAN --hitcount 10 --seconds 300 -j LOG 

Эта настройка работает. Просмотр / proc / net / xt_recent / PORTSCAN, запуск nmap на закрытом порту добавляет мой ip, а затем пытается подключиться, скажем, к порту 80 (который открыт) обновляет список. Кроме того, если я подключаюсь только к открытым портам, я не добавляется в список.

Мой вопрос в том, что когда я пытаюсь объединить две строки в таблице ограничителей в один, он больше не работает.

 #-A limiter -m recent --update --name PORTSCAN #-A limiter -m recent --rcheck --name PORTSCAN --hitcount 10 --seconds 300 -j LOG -A limiter -m recent --update --name PORTSCAN --hitcount 10 --seconds 300 -j LOG 

Сканирование открытого порта после закрытого не обновляет список (хотя, если предел 10 пакетов / 300 секунд превышен, он регистрируется).

Я понимаю, что строка обновления будет эквивалентна двум другим. Почему нет?

Linux и Unix - лучшая ОС в мире.