>> 1) А зачем вообще это ограничивать?
>> 2) Неужто ipfw настолько топор что число syn пакетов в единицу времени
> Вроде в 8ке только общее количество коннектов. А никак не во времени :(Ппц, а в лине можно например отмаркировать "все syn-пакеты" иптаблезом как "некий поток номер эн" и утолкать сие шейперу, так флуд оными будет лимитирован до вполне конкретных величин как любой иной вид траффика, но приоритет и доступный бандвиз можно задать персонально этому "типу траффика". При этом юзверг не сможет послать более энного числа пакетов в секунду по вполне очевидным причинам (нарвется на лимит траффика потока SYN пакетов). Хотя наверное и иные варианты есть (модуль recent и счет, например).
> с разницей в миллисекунду долбилась получала отлуп и опять долбилась.
Ого. Как злой воркэраунд - ну воткнуть рулез файру до сквида - если src такой а dst сякой - DROP. Тут и флудить будет сложно (таймаут connect() обычно около 60 секунд) и сквиду срач не достанется.
> очень бы помогло packets per second ограничение.
Вот уж не подумал бы что в бсде с этим какие-то проблемы. В линухе на раз делается.
> Diffuse как я понимаю должен предоставить и такую возможность.
Он для этих целей - как из пушки по воробьям.