linux流量控制

⑴ linux中如何控制端口流量

配置网卡
建立一台虚拟机，并安装完成后以桥接的方式在虚拟机上面添加两张网卡。分别为eth0和eth1。
eth0: a.b.c.d(外网的上网地址)
eth1: 172.16.44.1(做为内网的网关)

Tip
原先我使用eth0:0的这种虚拟网卡的形式去配置一直不成功，后来使用双网卡的时候一直忘了把eth0:0这张虚拟网卡删掉导致了限速配置一直不成功，浪费了大把的青葱。
配置iptables nat
#开启ip_forward
echo "1">/proc/sys/net/ipv4/ip_forward

#清除原来的防火墙规则
iptables -F
iptables -t nat -F
iptables -t mangle -F

#添加nat转发
iptables -t nat -A POSTROUTING -s 172.16.44.0/24 -o eth0 -j MASQUERADE

通过执行上面的代码后，局域网内的电脑就可以上网了。
端口转发
由于我的内网还挂了网站，所以要开启80端口的转发。
iptables -t nat -I PREROUTING -p tcp -d a.b.c.d --dport 80 -j DNAT --to 172.16.44.210:80
iptables -t nat -I POSTROUTING -p tcp -d 172.16.44.210 --dport 80 -j SNAT --to 172.16.44.1

这条命令指定外网地址a.b.c.d的80端口转发到172.16.44.210:80上。由于是双网卡，所以需要做一下回路。
下载限速
下载限速要在eth1上面做，判断数据包的目的地址来做限制。tc包括三部分：队列、类、过滤器。我使用了htb方式去限制速度，也可以使用cbq，但cbq配置比较复杂一点，而且据说性能没htb好。
#删除原来的tc规则队列
tc qdisc del dev eth1 root
#添加tc规则队列
tc qdisc add dev eth1 root handle 10: htb default 256
#生成根类
tc class add dev eth1 parent 10: classid 10:1 htb rate 100mbit ceil 100mbit
#支类列表用于限制速度
#这里的rate指的是保证带宽,ceil是最大带宽。
tc class add dev eth1 parent 10:1 classid 10:10 htb rate 400kbps ceil 400kbps prio 1

#添加支类规则队列
#采用sfq伪随机队列，并且10秒重置一次散列函数。
tc qdisc add dev eth1 parent 10:10 handle 101: sfq perturb 10

#建立网络包过滤器，设置fw。
tc filter add dev eth1 parent 10: protocol ip prio 10 handle 1 fw classid 10:10
#在iptables里面设定mark值，与上面的handle值对应。
iptables -t mangle -A POSTROUTING -d 172.16.44.130 -j MARK --set-mark 1

通过上面的代码就可以限制172.16.44.130这台机子的下载速度到400kbps。
Tip
经过实际测试这里的kbps实际上就是KB/S每秒千字节。另一个单位是kbit，这个才是每秒千比特。这里的172.16.44.130也可以写成一个网段，比如：172.16.44.0/24
上传限速
上传限速的原理其实跟下载的差不多，只不过限制的网卡不同，要在eth0上过滤来源地址去限制。
#删除原来的tc规则队列
tc qdisc del dev eth0 root

#添加tc规则队列
tc qdisc add dev eth0 root handle 20: htb default 256

#生成根类
tc class add dev eth0 parent 20: classid 20:1 htb rate 100mbit ceil 100mbit

#支类列表用于限制速度
tc class add dev eth0 parent 20:1 classid 20:10 htb rate 40kbps ceil 40kbps prio 1

#添加支类规则队列
tc qdisc add dev eth0 parent 20:10 handle 201: sfq perturb 10

#建立网络包过滤器
tc filter add dev eth0 parent 20: protocol ip prio 100 handle 2 fw classid 20:10
iptables -t mangle -A PREROUTING -s 172.16.44.130 -j MARK --set-mark 2

Tip
跟下载不同的是POSTROUTING要改成PREROUTING，-d改成-s。
观察连接数
通过iptables的nat连接可以通过下面的代码查看。至于统计连接数可以写代码实现，也可以利用awk,grep等工具。反正里面的内容就是文本，处理起来也比较简单。
cat /proc/net/ip_conntrack

写在结尾
到此上网、端口转发和流量限制都已经实现。下次再考虑配置个dhcp server和dnsmasq。至于一些路由器其它诸如mac地址绑定，限制上网等用到的时候再去研究研究。

⑵ linux系统中如何限制网络流量

限制网络流量速率的一种方法是通过一个名为trickle的命令行工具。通过在程序运行时，预先加载一个速率限制 socket 库 的方法，trickle 命令允许你改变任意一个特定程序的流量。 trickle 命令有一个很好的特性是它仅在用户空间中运行，这意味着，你不必需要 root 权限就可以限制一个程序的带宽使用。要能使用 trickle 程序控制程序的带宽，这个程序就必须使用非静态链接库的套接字接口。
将你的 scp 会话的最大上传带宽设定为 100 KB/s：

$ trickle -u 100 scp backup.tgz alice@remote_host.com:

另一种控制你的带宽资源的方式是在每一个接口上限制带宽。这在你与其他人分享你的网络连接的上行带宽时尤为实用。同其他一样，Linux 有一个工具来为你做这件事。wondershaper就是干这个的。

wondershaper 实际上是一个 shell 脚本，它使用 tc 来定义流量调整命令，使用 QoS 来处理特定的网络接口。外发流量通过放在不同优先级的队列中，达到限制传出流量速率的目的；而传入流量通过丢包的方式来达到速率限制的目的。
举个例子， 将 eth0 的最大下载/上传带宽分别设定为 1000Kbit/s 和 500Kbit/s:

$ sudo wondershaper <interface> <download-rate> <upload-rate>

⑶ TC - Linux 流量控制工具

参考： TC - Linux 流量控制工具 | Life is magic. Coding is art. (int64.me)

TC(Linux下流量控制工具)详细说明及应用_Gino的专栏-CSDN博客

本来打算直接列一波用法，但是总觉得，不记录一下原理，操作起来也是一脸懵逼。 TC 通过建立处理数据包队列，并定义队列中数据包被发送的方式，从而实现进行流量控制。TC 模拟实现流量控制功能使用的队列分为两类：

classful 队列规定（qdisc）, 类（class）和过滤器（filter）这 3 个组件组成，绘图中一般用圆形表示队列规定，用矩形表示类，图 自 Linux 下 TC 以及 netem 队列的使用

都是以一个根 qdisc 开始的，若根 qdisc 是不分类的队列规定，那它就没有子类，因此不可能包含其他的子对象，也不会有过滤器与之关联，发送数据时，数据包进入这个队列里面排队，然后根据该队列规定的处理方式将数据包发送出去。

分类的 qdisc 内部包含一个或多个类，而每个类可以包含一个队列规定或者包含若干个子类，这些子类友可以包含分类或者不分类的队列规定，如此递归，形成了一个树。

句柄号：qdisc 和类都使用一个句柄进行标识，且在一棵树中必须是唯一的，每个句柄由主号码和次号码组成 qdisc 的次号码必须为 0（0 通常可以省略不写）

根 qdisc 的句柄为 1：，也就是 1：0。类的句柄的主号码与它的父辈相同（父类或者父 qdisc），如类 1：1 的主号码与包含他的队列规定 1：的主号码相同，1：10 和 1：11 与他们的父类 1：1 的主号码相同，也为 1。

新建一个类时，默认带有一个 pfifo_fast 类型的不分类队列规定，当添加一个子类时，这个类型的 qdisc 就会被删除，所以，非叶子类是没有队列规定的，数据包最后只能到叶子类的队列规定里面排队。

若一个类有子类，那么允许这些子类竞争父类的带宽，但是，以队列规定为父辈的类之间是不允许相互竞争带宽的。

默认 TC 的 qdisc 控制就是出口流量，要使用 TC 控制入口，需要把流量重定向到 ifb 网卡，其实就是加了一层，原理上还是控制出口 。

为何要先说 classless 队列，毕竟这个简单嘛，要快速使用，那么这个就是首选了。基于 classless 队列，我们可以进行故障模拟，也可以用来限制带宽。

TC 使用 linux network netem 模块进行网络故障模拟

网络传输并不能保证顺序，传输层 TCP 会对报文进行重组保证顺序，所以报文乱序对应用的影响比上面的几种问题要小。

报文乱序可前面的参数不太一样，因为上面的报文问题都是独立的，针对单个报文做操作就行，而乱序则牵涉到多个报文的重组。模拟报乱序一定会用到延迟（因为模拟乱序的本质就是把一些包延迟发送），netem 有两种方法可以做。

以 tbf (Token Bucket Filter) 为例，

参数说明：

限制 100mbit

限制延迟 100ms, 流量 100mbit

这个就复杂一些，同样也特别灵活，可以限制特定的 ip 或者服务类型以及端口

以使用 htb 为例

使用 TC 进行入口限流，需要把流量重定向到 ifb 虚拟网卡，然后在控制 ifb 的输出流量

⑷ 如何在Linux上按国别阻止网络流量

作为一名维护生产环境Linux服务器的系统管理员，在有些情况下，你需要根据地理位置，有选择性地阻止或允许网络流量。比如说，你遇到了拒绝服务攻击，这些攻击主要源自在某一个国家注册的IP地址。在其他情况下，出于安全方面的原因，你又想要阻止外国来历不明SSH登录请求；或者贵公司对在线视频拥有发行权，因而只可以分发给某些国家；或者由于地域限制方面的公司政策，你需要防止本地主机将文档上传到非美国远程云存储系统。

所有这些场景都需要能够安装一个防火墙，可以按国别对流量进行过滤。有几种方法可以做到这一点。举例说，你可以使用TCP包装器(TCP wrapper)，针对个别应用程序(比如SSH、NFS和httpd)设置有条件的阻止。其缺点是，你想要保护的那个应用程序在开发当初必须支持TCP包装器。此外，TCP包装器并非普遍出现在不同的平台上(比如说，Arch Linux已停止对TCP包装器的支持)。另一种办法就是，利用基于国家的GeoIP信息来设置ipset，然后将它运用于iptables规则。后一种方法更有希望，因为基于iptables的过滤与应用程序无关，而且易于设置。
我在本教程中将介绍另一种基于iptables的GeoIP过滤机制，这种机制实施了xtables-addons。有些读者对它还不熟悉，所以有必要先介绍一下，xtables-addons是一套面向netfilter/iptables的扩展。xtables-addons内含了一个名为xt_geoip的模块，该模块扩展了netfilter/iptables的功能，可以根据来源/目的地国家，过滤、NAT或管理数据包。如果你想使用xt_geoip，不需要重新编译内核或iptables，只需要构建xtables-addons模块，并使用当前的内核构建环境(/lib/moles/`uname -r`/build)。也不需要重启。一旦你构建并安装好了xtables-addons，xt_geoip立即就可以与iptables结合使用。
至于xt_geoip和ipset之间的区别，官方来源(http://xtables-addons.sourceforge.net/geoip.php)提到，xt_geoip在内存占用空间方面少于ipset。不过在匹配速度方面，基于散列的ipset可能具有优势。
在本教程其余部分，我会演示如何使用iptables/xt_geoip，根据来源/目的地国家，阻止网络流量。
将Xtables-addons安装到Linux上
下面介绍如何编译xtables-addons，并将它安装到不同的Linux平台上。
想构建xtables-addons，你就需要先安装几个依赖程序包。
·将依赖程序包安装到Debian、Ubuntu或Linux Mint上
$ sudo apt-get install iptables-dev xtables-addons-common libtext-csv-xs-perl pkg-config

·将依赖程序包安装到CentOS、RHEL或Fedora上
CentOS/RHEL 6需要先安装EPEL软件库(面向perl-Text-CSV_XS)。
$ sudo yum install gcc-c++ make automake kernel-devel-`uname -r` wget unzip iptables-devel perl-Text-CSV_XS

编译和安装Xtables-addons
从官方网站(http://xtables-addons.sourceforge.net)下载最新的xtables-addons源代码，然后构建/安装它，如下所示。
$wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons
-2.10.tar.xz
$ tar xf xtables-addons-2.10.tar.xz
$ cd xtables-addons-2.10
$ ./configure
$ make
$ sudo make install

请注意：如果是默认情况下已启用SELinux的基于红帽的系统(CentOS、RHEL、Fedora)，有必要调整SELinux策略，如下所示。要不然，SELinux会阻止iptables装入xt_geoip模块。
$ sudo chcon -vR --user=system_u /lib/moles/$(uname -r)/extra/*.ko
$ sudo chcon -vR --type=lib_t /lib64/xtables/*.so

为Xtables-addons安装GeoIP数据库
下一步是安装GeoIP数据库，xt_geoip将用到该数据库，用于IP与国别映射。很方便的是，xtables-addons源程序包随带两个帮助脚本，可分别用来从MaxMind下载GeoIP数据库，并将它转换成xt_geoip可识别的二进制格式。这些脚本位于源程序包里面的geoip文件夹下面。按照下列说明，即可构建GeoIP数据库，并将它安装到你系统上。
$ cd geoip
$ ./xt_geoip_dl
$ ./xt_geoip_build GeoIPCountryWhois.csv
$ sudo mkdir -p /usr/share/xt_geoip
$ sudo cp -r {BE,LE} /usr/share/xt_geoip

据MaxMind声称，其GeoIP数据库的准确性达到99.8%，数据库更每月都更新。为了确保本地安装的GeoIP数据库内容最新，你就需要设置每月执行的计划任务，以便每月更新一次本地GeoIP数据库。
阻止来自或发往某个国家的网络流量
一旦xt_geoip模块和GeoIP数据库都已安装好，你就可以立即使用iptables命令中的geoip匹配选项。
$ sudo iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]

你想要阻止的国家使用两个字母ISO3166代码来指定，比如说US(美国)、CN(中国)、IN(印度)和FR(法国)。
比如说，如果你想阻止来自也门(YE)和赞比亚(ZM)的入站流量，下面这个iptables命令就能实现。
$ sudo iptables -I INPUT -m geoip --src-cc YE,ZM -j DROP

如果你想阻止发往中国(CN)的出站流量，只要运行下面这个命令。
$ sudo iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

匹配条件也可以被“抵消”，只要将“!”放在“--src-cc”或“--dst-cc”的前面。比如说：
如果你想在服务器上阻止所有非美国的入站流量，可以运行这个命令：
$ sudo iptables -I INPUT -m geoip ! --src-cc US -j DROP

针对Firewall-cmd用户
像CentOS/RHEL 7或Fedora这一些发行版已将iptables换成firewalld，作为默认防火墙服务器。在这类系统上，你同样可以利用xt_geoip，使用firewall-cmd阻止流量。上面三个例子可以用firewall-cmd来改写，如下所示。
$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip --src-cc YE,ZM -j DROP
$ sudo firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -m geoip --dst-cc CN -j DROP
$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip ! --src-cc US -j DROP

结束语
我在本教程中介绍了iptables/xt_geoip，这是一种简单方法，可以根据来源/目的地国家，对网络数据包进行过滤。如果需要的话，可以将这件有用的武器部署到你的防火墙系统中。最后提醒一句，我应该提到：基于GeoIP的流量过滤并不是在你服务器上阻止某些国家的万无一失的方法。GeoIP数据库天生就不准确/不完整，如果使用VPN、Tor或任何受到危及的中继主机，就很容易欺骗来源/目的地国家。基于地域的过滤甚至会阻止本不该被禁止的合法流量。明白这个局限性后，再决定将它部署到你的生产环境中也不迟。

⑸ linux服务器要怎样针对IP流量限制

不是木马，是设置问题，下面是流量的控制方法一、Linux流量控制过程分二种：1、队列控制即QOS,瓶颈处的发送队列的规则控制，常见的有SFQPRIO2、流量控制即带宽控制,队列的排队整形，一般为TBFHTB二、Linux流量控制算法分二种：1、无类算法用于树叶级无分支的队列，例如：SFQ2、分类算法用于多分支的队列，例如：PRIOTBFHTB三、具体实现：1.在网卡上建立以SFQ算法的限流#tcqdiscadddeveth0roothandle1:sfqSFQ参数有perturb(重新调整算法间隔)quantum基本上不需要手工调整:handle1:规定算法编号..可以不用设置由系统指定..#tcqdiscshdeveth0显示算法#tcqddeldeveth0root删除注:默认eht0支持TOS2.在网卡建立以TBF算法的限流#tcqdadddeveth1roothandle1:速率256kbit突发传输10k最大延迟50ms#tc-sqdshdeveth1统计#tcqddeldeveth1root删除3.在网卡建立PRIO#tcqdiscadddeveth0roothandle1:prio#此命令立即创建了类:1:1,1:2,1:3(缺省三个子类)#tcqdiscadddeveth0parent1:1handle10:sfq#tcqdiscadddeveth0parent1:2handle20:注:此为TBF限速的另一写法,前文有讲解.#tcqdiscadddeveth0parent1:3handle30:sfq4.WEB服务器的流量控制为5Mbps,SMTP流量控制在3Mbps上.而且二者一共不得超过6Mbps,互相之间允许借用带宽#tcqdiscadddeveth0roothandle1:#tcclassadddeveth0parent1:0classid1:.这部分按惯例设置了根为1:0,并且绑定了类1:1.也就是说整个带宽不能超过6Mbps.#tcclassadddeveth0parent1:1classid1:.#tcclassadddeveth0parent1:1classid1:.建立了2个类.注意我们如何根据带宽来调整weight参数的.两个类都没有配置成"bounded",但它们都连接到了类1:1上,而1:1设置了"bounded".所以两个类的总带宽不会超过6Mbps.别忘了,同一个CBQ下面的子类的主号码都必须与CBQ自己的号码相一致!#tcqdiscadddeveth0parent1:3handle30:sfq#tcqdiscadddeveth0parent1:4handle40:sfq缺省情况下,两个类都有一个FIFO队列规定.但是我们把它换成SFQ队列,以保证每个数据流都公平对待.#tcfilteradddeveth0parent1::3#tcfilteradddeveth0parent1::46.过滤器过滤示例#::1在10:节点添加一个过滤规则,优先权1:凡是去往22口(精确匹配)的IP数据包,发送到频道10:1..#::1在10:节点添加一个过滤规则,优先权1:凡是来自80口(精确匹配)的IP数据包,发送到频道10:1..#:prio2flowid10:2在eth0上的10:节点添加一个过滤规则,它的优先权是2:凡是上二句未匹配的IP数据包,发送到频道10:2..#tcfilteradddeveth0parent10:.3.2.1/32flowid10:1去往4.3.2.1的包发送到频道10:1其它参数同上例#tcfilteradddeveth0parent10:.2.3.4/32flowid10:1来自1.2.3.4的包发到频道10:1#:prio2flowid10:2凡上二句未匹配的包送往10:2#tcfilteradddeveth0parent10:.3.2.1/:1可连续使用match,匹配来自1.2.3.4的80口的数据包