Dziękuję za podpowiedź. Poczytałem trochę o iptables i napisałem taką regułkę, zamiast tamtych dwóch:

www://# iptables -L -vn
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 #conn/32 > 20 tcp dpt:80 flags:0x17/0x02 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 ...

Czyli jakbym pozbył si ę:
--connlimit-mask 32
to rozumiem, że to 8 obowiązywałoby jeden host/i p? To jakoś mi nie pasuje, bo mam jeszcze tam tak ą regułkę:
-I INPUT -p tcp --dport 80 --syn -m connlimit --connlimit-above 20 -j REJECT
Czy one się jakoś nie wykluczają, albo sobie nie przeszkadzają ...

Znajomy kiedyś podał mi taką regułę:

-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 8 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable

Technicy jednego z operatorów twierdzą że to ta regułka jest przyczyną że jeden z ich klientów ...