Come posso modellare il traffico in Linux tramite IP?


15

Abbiamo una configurazione proxy trasparente. Ho provato a cercare il traffic shaping in Linux, e tutto quello che ho trovato online è stato limitare il traffico tramite l'interfaccia (eth0 / eth1 ...).

Devo limitare la larghezza di banda (senza mai superare un limite specifico) per indirizzo IP o intervalli IP e non riesco a trovare un modo per farlo.

C'è un modo per farlo?

Risposte:


17

Il livello di modellamento del traffico del kernel è, fondamentalmente, uno scheduler di pacchetti collegato alla scheda di rete. Pertanto, una politica di modellamento del traffico si applica a una scheda di rete.

Quello che puoi fare, nel tuo caso, è creare un elenco di IP e larghezza di banda collegati, quindi, per ogni IP, crei:

  • Una regola di modellamento del traffico identificata da un classid
  • Una regola netfilter che contrassegna i pacchetti su un valore di contrassegno specifico
  • Un filtro che assocerà i contrassegni dei pacchetti al classid, applicando così la regola di controllo del traffico ai pacchetti specificati.

L'esempio fornito da @Zoredache funziona, ma personalmente preferisco usare la funzionalità Netfilter invece di TC per filtrare i pacchetti e HTB invece di CBQ per l'algoritmo di shapping. Quindi puoi provare qualcosa del genere (richiede Bash 4 per gli array associativi):

#! /bin/bash
NETCARD=eth0
MAXBANDWIDTH=100000

# reinit
tc qdisc del dev $NETCARD root handle 1
tc qdisc add dev $NETCARD root handle 1: htb default 9999

# create the default class
tc class add dev $NETCARD parent 1:0 classid 1:9999 htb rate $(( $MAXBANDWIDTH ))kbit ceil $(( $MAXBANDWIDTH ))kbit burst 5k prio 9999

# control bandwidth per IP
declare -A ipctrl
# define list of IP and bandwidth (in kilo bits per seconds) below
ipctrl[192.168.1.1]="256"
ipctrl[192.168.1.2]="128"
ipctrl[192.168.1.3]="512"
ipctrl[192.168.1.4]="32"

mark=0
for ip in "${!ipctrl[@]}"
do
    mark=$(( mark + 1 ))
    bandwidth=${ipctrl[$ip]}

    # traffic shaping rule
    tc class add dev $NETCARD parent 1:0 classid 1:$mark htb rate $(( $bandwidth ))kbit ceil $(( $bandwidth ))kbit burst 5k prio $mark

    # netfilter packet marking rule
    iptables -t mangle -A INPUT -i $NETCARD -s $ip -j CONNMARK --set-mark $mark

    # filter that bind the two
    tc filter add dev $NETCARD parent 1:0 protocol ip prio $mark handle $mark fw flowid 1:$mark

    echo "IP $ip is attached to mark $mark and limited to $bandwidth kbps"
done

#propagate netfilter marks on connections
iptables -t mangle -A POSTROUTING -j CONNMARK --restore-mark

- modifica: ha dimenticato la classe predefinita e di propagare i segni alla fine dello script.


umm .. come aggiungere il limite di larghezza di banda predefinito per quelli che non sono nell'elenco?
Kokizzu,

Hai usato $ mark come definizione di prio. Non sarebbe meglio usare la stessa priorità per tutti?
motobói,

se cambio "iptables -t mangle -A INPUT" in "iptables -t mangle -A OUTPUT" potrei controllare la velocità dal mio server a un IP particolare ??
Frank Barcenas,

come posso ripristinare le impostazioni dopo questo?
Stefan Rogin,

Non riesco a farlo funzionare, scrivendo comandi manualmente senza loop per un singolo ip.
Adones Pitogo,

5

Qualcosa del genere ha funzionato per me per limitare la web cam di un appaltatore a una quantità limitata di larghezza di banda. Controlla la pagina man per tc per i dettagli.

#!/bin/bash
set -x

DEV=eth0
export DEV

tc qdisc del dev $DEV root
tc qdisc del dev $DEV root
tc qdisc add dev $DEV root handle 1: cbq avpkt 1000 bandwidth 100mbit

# setup a class to limit to 1500 kilobits/s
tc class add dev $DEV parent 1: classid 1:1 cbq rate 1500kbit \
   allot 1500 prio 5 bounded isolated

# add traffic from 10.2.1.37 to that class
tc filter add dev $DEV parent 1: protocol ip prio 16 u32 \
   match ip src 10.2.1.37 flowid 1:1

3
CBQ è un po 'abbandonato ... troverai HTB molto più facile da usare e
otterrai

1
Non è necessario esportare DEV se viene utilizzato solo in questo script ....
Gert van den Berg

1

Non sono sicuro di aver capito correttamente la tua domanda.

Il proxy trasparente (come in Squid per HTTP) viene utilizzato per controllare principalmente i dati in arrivo. Mentre il traffic shaping viene utilizzato per controllare i dati in uscita.

Devi fornire maggiori dettagli. Se hai molte stazioni di lavoro dietro un proxy HTTP e stai cercando di limitare la velocità di download, è meglio scegliere qualcosa come Squid + delay pool.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.