简单用了下iptables限速，比QoS爽

starinvader

个人认为在这种家用路由性能不高的情况下直接drop是最好的选择
drop和reject都是丢弃数据包，但不同的是reject会返回错误信息给客户端，而drop是直接不声不响丢弃

诸葛亮的很

QOS流量限制应该用这帖里的方法
https://www.right.com.cn/forum/v ... mp;page=1#pid326242

为什么要限制并发数为了避免这些无序的家伙发起大量并发导致路由处理不过来。所以对于这样的共享者只 ...
dato 发表于 2011-5-7 15:04

要限制一个IP，就是用iptables -A FORWARD -s xxx.xxx.xxx.xxx么？-s IP和 -d IP对结果会有什么影响？限制的话在DD里应该用-s还是-d？

诸葛亮的很

15# starinvader
原来是这样，那同时还要限制连接数了？不过connlimit貌似不起作用啊，限制了300连接数后还是可以轻松几十几十地增加知道突破1000……

诸葛亮的很

iptables -I FORWARD 1 -s 192.168.1.101 -m limit --limit 30/s -j ACCEPT
iptables -I FORWARD 2 -s 192.168.1.101 -j DROP
iptables -I FORWARD 3 -p tcp -s 192.168.1.101 -m connlimit --connlimit-above 100 -j REJECT

这样写还有没有问题？

starinvader

15# starinvader
原来是这样，那同时还要限制连接数了？不过connlimit貌似不起作用啊，限制了300连接数后还是可以轻松几十几十地增加知道突破1000……
诸葛亮的很 发表于 2011-5-7 15:51

     看了下DD的iptables似乎是不支持connlimit也没有可替代的参数...

starinvader

要限制一个IP，就是用iptables -A FORWARD -s xxx.xxx.xxx.xxx么？-s IP和 -d IP对结果会有什么影响？限制的话在DD里应该用-s还是-d？
诸葛亮的很 发表于 2011-5-7 15:50

    用-d

诸葛亮的很

20# starinvader
原来是不支持。。。已经移除了这个语句。看来连接数限制没什么好办法，只有换路由器上Tomato了。
-d是指从外面进来到指定IP的连接吗？

starinvader

20# starinvader
原来是不支持。。。已经移除了这个语句。看来连接数限制没什么好办法，只有换路由器上Tomato了。
-d是指从外面进来到指定IP的连接吗？
诸葛亮的很 发表于 2011-5-7 22:42

  


    是的。
  从路由器的角度理解

骑驴也上树

connlimit 是绝对好用的 服务器上我是用这个模块做限制的

starinvader

connlimit 是绝对好用的 服务器上我是用这个模块做限制的
骑驴也上树 发表于 2011-5-8 21:58

    iptables还没在内核那个时候蛋疼吗？

henian1989

iptables 5个规则链  INPUT OUTPUT  是控制外界与本地主机（也就是路由器）的交互   一般用来做安全设置  控制能访问路由的范围     用来限速应该不正确   大部分流量路由器是转发    做策略应该选择 PERRONTING  FORWARD   POSTROUTING   这其中的任何一个都可以控制转发的流量   只是控制的时间不一样   一个是第一个进入路由的连接   一个是转发数据   一个是第一个离开路由的包    也就是进来的时候控制    转发的时候控制   或者准备离开的时候控制    根据自己需求选择

henian1989

iptables 5个规则链  INPUT OUTPUT  是控制外界与本地主机（也就是路由器）的交互   一般用来做安全设置  控制能访问路由的范围     用来限速应该不正确   大部分流量路由器是转发    做策略应该选择 PERRONTING  FORWARD   POSTROUTING   这其中的任何一个都可以控制转发的流量   只是控制的时间不一样   一个是第一个进入路由的连接   一个是转发数据   一个是第一个离开路由的包    也就是进来的时候控制    转发的时候控制   或者准备离开的时候控制    根据自己需求选择

诸葛亮的很

iptables 5个规则链  INPUT OUTPUT  是控制外界与本地主机（也就是路由器）的交互   一般用来做安全设置  控制能访问路由的范围     用来限速应该不正确   大部分流量路由器是转发    做策略应该选择 PERRONTING  FO ...
henian1989 发表于 2011-5-29 18:24

一言惊醒。受教了。

ecc29

要限制一个IP，就是用iptables -A FORWARD -s xxx.xxx.xxx.xxx么？-s IP和 -d IP对结果会有什么影响？限制的话在DD里应该用-s还是-d？
诸葛亮的很 发表于 2011-5-7 15:50

-s 可能指的是 source，-d 可能是 destination，指的是进出指定IP的方向