我想限制下载速度从任何IP到800kbit,(这个工程)我想限制标记数据包的下载速度为400kbit。 我没有得到任何错误,但它不限制标记为30的数据包的下载速度。我已经用iptables-save -c确认数据包被正确标记。 所以我认为我的过滤语法拾取句柄30是错误的,即使没有错误。 /sbin/tc qdisc add dev $DEV handle ffff: ingress /sbin/tc filter add dev $DEV parent ffff: prio 40 protocol ip handle 30 fw police rate 400kbit burst 10k drop flowid :1 #slightly different order of parameters, also doesn't work /sbin/tc filter add dev $DEV parent ffff: protocol ip prio 40 handle 30 […]
TOE的使用会导致什么问题? 众所周知,TOE( TCP卸载引擎 )将TCP / IP堆栈的处理从CPU卸载到NIC: https : //wiki.linuxfoundation.org/networking/toe CPU有更多的免费资源 – 所以用户应用程序运行速度更快 它也增加了吞吐量并减less了networking应用程序的延迟: http : //www.epsglobal.com/downloads/Chelsio/Chelsio-Solarflare-TL-1.pdf 但为什么有时候build议closuresTOE? 禁用TCP卸载{完全,一般和容易} 为什么TOE在某些情况下可能会很慢? https://fasterdata.es.net/host-tuning/nic-tuning/ 据报道, Chelsio网卡上的 TCP分段卸载(TSO)和TCP卸载引擎(TOE)严重损害了WAN上的性能 (它们有助于减lessCPU负载,而不会影响局域网上的吞吐量)。 对于非常快的CPU尤其如此。 TOE的使用会导致什么问题?
我有一个小型Linux系统,在有线eth0和无线(AP模式) wlan0networking接口之间运行桥接器br0 。 对于br0我启用了IPv6(无状态)自动configuration; 这实际上是由dhcpcd处理的。 请注意, dhcpcd被configuration为执行无状态自动configuration, 无法看到任何有状态的DHCPv6 。 由于我的系统是一种适用于IPv6的诊断工具,因此我在不同的IPv6networking(子网)之间定期切换:在交换机上拉电缆,将其插入另一个端口。 现在这个设置的问题是: eth0是桥br0的从接口。 当我将电缆插入eth0 (和交换机)时,现在不会触发任何IPv6路由器请求 。 原因似乎是, br0从来没有看到任何从RUNNING转换或从RUNNING转换,但最初提出时例外。 重新启动br0不是一个选项。 当eth0进入RUNNING状态,即插入以太网电缆(当然是两端)时,如何configurationbr0或eth0来启动IPv6路由器请求?
很久以前的读者,第一次海报.. yada yada yada .. 不pipe怎么说,我希望有人有一些广泛的iptables / netfilter LIMIT或HASHLIMIT模块的经验,并解释我目睹的行为。 背景:我们有一个networking服务器,并希望限制一个月内客户可以拥有多less连接(HTTP Keepaliveclosures,顺便说一句)。 所以,我正在尝试使用iptables LIMIT模块来限制它们的新连接数量,以每月设定的数量(比方说500)。 iptables LIMIT模块使用“令牌桶”algorithm,所以我应该能够将限制突发(桶大小)设置为500,将限制(重填率)设置为500除以28天或大约18 /天。 这将确保在一个月的时间(4周)内,如果每一次都完全清空,那么桶就会被重新填充。 (我知道这实际上会授予超过500个,但它应该足够接近我们的需要)。 这里是我的iptables规则(我们使用ipset对IP进行分组,LimBurTest4包含我的源testing机器) Chain INPUT (policy DROP 2316 packets, 186K bytes) pkts bytes target prot opt in out source destination 2952K 626M ACCEPT all — * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED /* Accept outgoing return traffic */ 379 13702 […]
我试图configuration我的OpenVPN服务器(Ubuntu 16.04),使客户端无法与除OpenVPN服务器本身以外的任何其他设备进行通信。 我已经尝试从我的服务器configuration中删除客户端到客户端,但是这并不会阻止ping通过,大概是因为操作系统是通过接口从tun0路由数据包。 我已经尝试了这里提出的解决scheme,但没有任何效果。 我正在使用ufw来configuration我的防火墙,并试图直接在/etc/ufw/before.rules中将这个规则添加到iptables中,但没有任何更改。 我也调查过使用OpenVPN的内部数据包filter,但有关此function的文档是稀疏的。 示例服务器configuration指出:“强制客户端只能看到服务器,您还需要适当地防火墙服务器的TUN / TAP接口”,但我不清楚如何使用ufw或iptables来实现这一点。
目前在我的Linux服务器上,我启用了桥接,以便我可以在桥接模式下使用OpenVPN。 很好用。 eth0连接到局域网; tun0是OpenVPN网关; 这些桥接到一个新的接口br0。 相同的服务器也作为一个防火墙/路由器(eth1是互联网网关),并承载一个httpd和其他几个守护进程。 因此,我不得不重新configuration其中的一些来侦听br0而不是eth0。 事情是,我想在不使用OpenVPN的时候dynamic地拆掉这个网桥,并把它留在原来的路上,eth0是通往局域网的网关。 基本上我想要做的是创造一个“符号链接”,在任何活动在给定的时刻。 像“lan0”可以“指向”br0或eth0。 我听说过IP别名,但它是一种在网卡上启用多个IP的方法,这不是我想要做的。 任何人都指向正确的方向? 或者,如果存在性能损失,即使不使用它,可以忽略不计,我不应该打扰吗?
我有一些在linux( linux_host)上运行的模拟器软件,其中另一个linux( linux_sim )正在运行。 模拟器使用libpcap访问以太网以在linux_sim上提供networking模拟。 networking是在linux_host和linux_sim中调出的 。 我可以从linux_sim到达局域网中的任何主机(例如使用dhcp来设置IP)。 问题是,从linux_sim发送的数据包没有达到linux_host ,但他们在相反的方向行驶OK。 后者我可以用在linux_host上运行的wiresharkcertificate:如果我在linux_host上ping linux_sim – 我看到ICMP请求和回应(从linux_sim )不能到达linux_host ,反之亦然 – 我只看到ICMP请求(来自linux_sim ) 。 以下大致描述了我拥有的架构: LAN | linux_host—–[eth0] | libpcap | simulator | linux_sim PS linux_host和linux_sim有不同的MAC地址,IP和从LAN看起来像独立的Linux主机。 我尝试了三种不同的Linux机器,结果相同(使用Debian,CentOS和Gentoo)。 那么,在这种情况下,你可以推荐什么来检查/调整/configuration? 正如我所想,在这种情况下, linux_host需要一个不寻常的路由/过滤configuration。 UPDATE 广播stream量确实从linux_sim到达linux_host ,因为我发现IP地址是用ARPparsing的(请求广播被回复)。
我们有2台带有FreeBSD的网卡的服务器。 1卡用于互联网(工作正常)和另一个本地networking连接(到192.168.227.0/24网)。 当我尝试ping IP网关192.168.227.1本地networking时,我得到了消息“ping:发送到:主机已closures”。 网关是好的,在线 – 所有其他服务器(与Ubuntu)可以轻松地连接到这个networking。 所以也许我在我的configuration文件中有一些错误。 使用ifconfig: igb0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=1bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM, TSO4> ether 3c:d9:2b:f2:d1:f6 media: Ethernet autoselect (1000baseT <full-duplex>) status: active igb1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=1bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM, TSO4> ether 3c:d9:2b:f2:d1:f7 media: Ethernet autoselect status: no carrier em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_ MAGIC> ether 00:26:55:ea:e3:a6 inet 77.195.133.102 netmask […]
在CentOS 6.4中,在虚拟接口上使用“ifdown”时,物理接口上configuration的IPv6地址也会被删除。 我希望只有虚拟接口被改变。 如何防止虚拟接口上的“ifdown”影响物理接口上的IPv6地址? 我们使用一个物理网卡和多个虚拟接口运行CentOS 6.4服务器。 同样,我们有多个IPv6地址绑定到物理接口。 例如,/ etc / sysconfig / network-scripts / ifcfg-eth0是: DEVICE=eth0 IPV6_DEFAULTGW="AAAA:BBBB:CCCC:D::1" IPV6INIT="yes" USERCTL="no" DNS2="8.8.4.4" DNS1="8.8.8.8" IPADDR="xx.x.xxx.201" PRIMARY="yes" NETMASK="255.255.255.192" BOOTPROTO="static" IPV6ADDR_SECONDARIES="AAAA:BBBB:CCCC:D::202 AAAA:BBBB:CCCC:D::203" IPV6ADDR="AAAA:BBBB:CCCC:D::201" ONBOOT="yes" 并从ifconfig输出: # ifconfig eth0 eth0 Link encap:Ethernet HWaddr D4:AE:52:B4:AF:8C inet addr:xx.x.xxx.201 Bcast:xx.x.xxx.255 Mask:255.255.255.192 inet6 addr: AAAA:BBBB:CCCC:D::201/64 Scope:Global inet6 addr: AAAA:BBBB:CCCC:D::202/64 Scope:Global inet6 addr: AAAA:BBBB:CCCC:D::203/64 Scope:Global inet6 […]
见附图。 主机A – Windows服务器 主机B – Linux服务器 主机C – VMWare ESXi服务器 从主机AI可以通过VPN隧道SSH到主机B. 我可以从主机B ping主机C,但不能从主机A.我假设这是因为主机C已经失去了它的默认网关。 主机C是一个VMWware ESXi服务器,所以我需要隧道几个端口(80,443,902)才能从主机A到达主机C. 为了从主机A到达主机C,创build隧道的正确的ssh语法是什么,我可以使用单个命令来完成,还是需要运行三个命令(每个端口80,443,902)?