在squid服务器上用iptables做限速或者禁止某个IP上网的限制，未生效

aaa1111sss

         

环境：

公司用squid做代理上网，由于一些部门反映网速较慢，而由于一些部门由于以工作需要为理由，用迅雷等软件下载东西，所以暂时不禁止迅雷。

该squid不支持限速模块，如果需要在squid上做限速措施，需要重新编译squid，暂时不考虑。

因此，在该squid服务器上做限速措施，先测试，测试让我自己的IP限速是否能成功

我自己的本机IP是172.18.10.18

squid的IP是  192.168.2.59，用8080端口做代理

现在登陆到squid服务器

[root@******]# iptables -I  FORWARD  -s   172.18.10.18  -m  limit  --limit 100/s  -j  ACCEPT

做了该设置后，重启IE，随便下载了一个软件，下载速度仍可达400多K


再来试试禁止我自己的IP上网

iptables -I  FORWARD  -s  172.18.10.18 -d  192.168.2.59   -j  DROP

iptables -I  FORWARD  -s  172.18.10.18 -p tcp  --dport 8080    -j  DROP


结果发现，我的本机还是能上网，这样设置无效吗？请大家帮忙解答

补充一下，本机的网络配置

本机IP   172.18.10.18

网关   172.18.10.1   （网关并不是指向squid的，不知道原因在不在这）

如果是这个原因，该怎么设置iptables  ？  

ding_cw

你这样试试

iptables -I  FORWARD  -d  172.18.10.18 -j  DROP

aaa1111sss

多谢  我刚刚查资料

这样做有效：

iptables -t nat   -A  PREROUTING  -s  172.18.10.18  -j DROP  

并测试，有效

与楼上请教下：

是因为我本机到squid服务器是跨网段 ，因此 ，需要在nat表的PREROUTING链上做，我理解是这样

2008ohmygod

回复 3# aaa1111sss

squid 代理的话是不走FORWARD的.

   

lihongweibj

把iptables -I FORWARD 链换成OUTPUT，这样可以限制自己上网。