服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 通过hashlimit限制带宽(例如,kb / s – 不是连接!)不起作用,尽pipe手册页说它应该
Intereting Posts
Outlook签名分发工具? 来自不同站点的不同外部IP地址 无法在SUSE 10.3下编译Varnish 2.1 从PFX中恢复IIS 6 SSL而不删除挂起的请求 在nginx中启动fastcgi错误 DHCP请求失败 Macnetworking备份 如果我从Namecheap切换到Google的云端DNS来托pipe域名,那么我是否可以获得中国的防火墙? 域名已续约,但尚未激活 CentOS 7无法启动? 无法删除Windows服务器上的文件句柄 如何在ADFS 2.0 .net 3.5中为被动联合configuration不同的Saml2SecurityTokenHandler 什么可能导致“kill -9 pid”失败? 如何在访问Windows Server 2008 R2 for Windows家庭版用户上的共享文件夹时禁用用户名和密码请求? 将所有网站移到Windows Server 2008 R2中的另一台服务器上

通过hashlimit限制带宽(例如,kb / s – 不是连接!)不起作用,尽pipe手册页说它应该

根据iptables-extensions手册页 hashlimit可以做带宽限制:

“stream量超过512kbyte / s”=>

--hashlimit-mode srcip,dstip,srcport,dstport --hashlimit-above 512kb/s

然而,当我试图指定这样一个规则,1)它不会像我所期望的那样限制我的带宽,2)当我使用iptables-save转储规则时,无论我在数字后加了多less,我都会得到相同的条目(kb / s,b / s,/ sec,愚蠢的东西,或者什么也没有): 

 # iptables -t filter -A it2net -s 10.5.2.43/32 -m hashlimit --hashlimit-upto 8kb/s --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.44/32 -m hashlimit --hashlimit-upto 8b/s --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.45/32 -m hashlimit --hashlimit-upto 8 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.46/32 -m hashlimit --hashlimit-upto 8000 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.47/32 -m hashlimit --hashlimit-upto 8000b --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.48/32 -m hashlimit --hashlimit-upto 8000xb --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT # iptables -t filter -A it2net -s 10.5.2.49/32 -m hashlimit --hashlimit-upto 8000kb --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT

和转储的相关部分: 

 -A it2net -s 10.5.2.43/32 -m hashlimit --hashlimit-upto 8/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT -A it2net -s 10.5.2.44/32 -m hashlimit --hashlimit-upto 8/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT -A it2net -s 10.5.2.45/32 -m hashlimit --hashlimit-upto 8/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT -A it2net -s 10.5.2.46/32 -m hashlimit --hashlimit-upto 10000/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT -A it2net -s 10.5.2.47/32 -m hashlimit --hashlimit-upto 10000/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT -A it2net -s 10.5.2.48/32 -m hashlimit --hashlimit-upto 10000/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT -A it2net -s 10.5.2.49/32 -m hashlimit --hashlimit-upto 10000/sec --hashlimit-burst 5 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j ACCEPT

(我们不用担心8000为什么会凑到10000呢?或者,我们呢?)

任何想法我失踪? 我需要限制大约100个不断变化的用户的带宽使用,因此每个用户只能有一个非常低的限制,以允许基本服务(特别是愚蠢的移动应用程序,不能使用代理身份validation),但需要login一切。

您的规则ACCEPT数据包达到一定的速度,但有什么之后,当它不符合规则的stream量DROP ? 默认链策略( -P )或显式规则…

你可以做的是改变你的规则,以降低交通与 – --hashlimit-above ; 例如: 

 # iptables -t filter -A it2net -s 10.5.2.43/32 -m hashlimit --hashlimit-above 8kb/s --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP # iptables -t filter -A it2net -s 10.5.2.44/32 -m hashlimit --hashlimit-above 8b/s --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP # iptables -t filter -A it2net -s 10.5.2.45/32 -m hashlimit --hashlimit-above 8 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP # iptables -t filter -A it2net -s 10.5.2.46/32 -m hashlimit --hashlimit-above 8000 --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP # iptables -t filter -A it2net -s 10.5.2.47/32 -m hashlimit --hashlimit-above 8000b --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP # iptables -t filter -A it2net -s 10.5.2.48/32 -m hashlimit --hashlimit-above 8000xb --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP # iptables -t filter -A it2net -s 10.5.2.49/32 -m hashlimit --hashlimit-above 8000kb --hashlimit-mode dstip --hashlimit-name test --hashlimit-htable-expire 3600000 -j DROP

其他选项:默认链策略(它将阻止所有不符合这些规则的stream量),或显式规则匹配您接受的相同stream量,并在与ACCEPT哈希限制规则不匹配时将其丢弃。

至于hashlimit破坏你的规则的方式,看起来很奇怪。 如果您使用不同的表名称,它会执行相同的操作吗? 我想这是要么你有一个不支持它的旧版本,或者以某种方式采取/ s as /秒,并假设表中的其他每秒是每秒。