谈一下如何利用iptables限制速度（不用tc）

platinum

不会吧？2.6 内核的 limit 改用 skb->len 控制了？
这是不是说，已经不是针对 packet 限制，而是针对 size 了？

sisi8408

原帖由 platinum 于 2007-1-12 10:46 发表
不会吧？2.6 内核的 limit 改用 skb->len 控制了？
这是不是说，已经不是针对 packet 限制，而是针对 size 了？

您也说外语呀，呵呵，加工一下吧。

[ 本帖最后由 sisi8408 于 2007-1-12 11:11 编辑 ]

platinum

原帖由 sisi8408 于 2007-1-12 10:53 发表


您也说外语呀，呵呵，加工一下吧。

看不懂
感觉有点深奥，能不能讲解一下设计原理
还有，这里为何要使用 spinlock 呢，而且为什么是 _bh 函数啊？

万里北国

大家讨论精彩，那最后什么结论呢？
limit模块可以近似代替tc？还是不能？

springwind426

-s 192.168.0.1 -m limit --limit 20/s -j ACCEPT
是不是说  192.168.0.1 来的数据包，每秒不能超过20个 ？

-s 192.168.0.0/24 -m limit --limit 20/s  -j ACCEPT
是不是说，来自192.168.0.0/24 这256个机器的数据包每秒不能超过20个？

如果以上成立，那么，如何控制 192.168.0.0/24 的每个主机发包每秒不能超过20个？
用：
-s 192.168.0.1  ...
-s 192.168.0.2 ....
这样写254个规则是可以了，只是这样做不好，还有别的法子吗？

platinum

-s 192.168.0.1 -m limit --limit 20/s -j ACCEPT
是不是说  192.168.0.1 来的数据包，每秒不能超过20个 ？

不是，这仅仅是说按照每秒 20 个包的速率去匹配，并 ACCEPT

-s 192.168.0.0/24 -m limit --limit 20/s  -j ACCEPT
是不是说，来自192.168.0.0/24 这256个机 ...

同上，只不过一个网段的总共加起来

上面的两条并没有“限制”的概念，只是“按一定速率去匹配”，具体在我置顶的教程里针对 limit 模块有很详细的解释，并说明了大家容易误解的原因

tingfengmanbu

看完这个帖子，感觉自己也就能看懂3/1，感觉自己好菜 在此先谢谢LZ=BZ也谢谢这里的高手让我又学到点东西，也希望CU论坛以后这样的帖子多些
提前祝大家中秋快乐

ahsiao

向高手学习。自己BS了一下自己

ahsiao

QUOTE:
另外 limit 的限制每秒多少个 我不知道该设定到多少合适。这个限制界限数是根据什么求出来的？
这是一个大概，我根据网络中的平均包大小来计算的
===============================
请教白金，如果按20/S的速率匹配数据包，那么按标准1500byte计算，则为20*1500=30K（近视值）。就是说，速率限制为大约30k/s。不知道可不可以这么理解？

springwind426

原帖由 platinum 于 2007-9-24 13:36 发表

不是，这仅仅是说按照每秒 20 个包的速率去匹配，并 ACCEPT


同上，只不过一个网段的总共加起来

上面的两条并没有“限制”的概念，只是“按一定速率去匹配”，具体在我置顶的教程里针对 limit 模块有很 ...

这个我明白，通常情况下，都是在-m limit 后面紧跟一个相似的规则（去掉limit部分），TARGET是DROP，这样才能真正起到限制作用。

我关心的是，能否用很短的规则，对一些机器中的每台都做同样的限制

-s 192.168.0.0/24 -m limit --limit 20/s -j ACCEPT
-s 192.168.0.0/24 -j DROP

这样做后，只是192.168.0.0/24这个网段被这么限制了，我想达到每台机器都是20/s

有这种功能的模块吗？