iptables限速,不用tc

platinum

原帖由 yangprc 于 2006-10-16 12:54 发表

20/s就是30k吗?
(不懂才问的啊,不要笑话)

如果平均包大小是 1500bytes 的话，20pps 的确就是 30kB/s

yangprc

那怎么测试平均包大小呢?

yangprc

已经看了老大的精华贴了,搞定,谢谢.

platinum

sar -n DEV 4 999
然后自己用 bytes 除以 packets 就好了

cexoyq

请问老大，
我先：
iptables -t nat -A PREROUTING -s $LAN_WD1 -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT
然后再：
iptables -A FORWARD -s $netIP1 -m limit --limit 20/s -j ACCEPT
那么内网用户转发给SQUID的是不是不会被限制到30k/s?
因为prerouting在forward前面？

[ 本帖最后由 cexoyq 于 2006-10-17 09:22 编辑 ]

platinum

nat 表的 PREROUTING 是负责目的地址重定向的
filter 表的 FORWARD 是做过滤的
二者原理不同，功能各异，不必考虑冲突问题

cexoyq

原帖由 platinum 于 2006-10-17 09:30 发表
nat 表的 PREROUTING 是负责目的地址重定向的
filter 表的 FORWARD 是做过滤的
二者原理不同，功能各异，不必考虑冲突问题

把内网http访问映射到SQUID后,它就不经过FORWARD了?还是跳过去了?

platinum

关于为什么 squid 后不走 FORWARD 的问题我写过一篇文章，里面提到过，你可以参考一下
http://bbs.chinaunix.net/viewthread.php?tid=506345

cexoyq

"DNAT和REDIRECT只相当于网关拦截到数据包，然后转交给新的IP或者端口
而转交之后，实际内网的电脑是直接与DNAT或者REDIRECT之后的地址、端口进行通讯的，因此如果做透明代理，必须打开squid那台机器对内网网段的TCP/3128
"
为什么我在内网上用netstat看(windows2000),
是连接远程HTTP服务器的80端口，而不是我的squid服务器端口？

platinum

原帖由 cexoyq 于 2006-10-18 07:46 发表
为什么我在内网上用netstat看(windows2000),
是连接远程HTTP服务器的80端口，而不是我的squid服务器端口？

因为你的 IE 也好，FireFox 也罢，都是用 TCP/80 对外访问的，难道不是吗？