web-dev-qa-db-ja.com

LinuxでIPによるトラフィックシェーピングを行うにはどうすればよいですか?

透過的なプロキシ設定があります。 Linuxでトラフィックシェーピングを探してみましたが、オンラインで見つけることができたのは、インターフェース(eth0/eth1 ...)でトラフィックを制限することだけでした。

帯域幅を(特定の制限を超えないように)IPアドレスまたはIP範囲で制限する必要がありますが、その方法を見つけることができません。

それを行う方法はありますか?

linuxiptraffic-shapingip-address
16
Osama ALASSIRY

カーネルのトラフィックシェーピングレイヤーは、基本的に、ネットワークカードに接続されたパケットスケジューラです。したがって、1つのトラフィックシェーピングポリシーが1つのネットワークカードに適用されます。

あなたの場合、あなたができることは、接続されているIPと帯域幅のリストを作成することです。次に、各IPについて、次のものを作成します。

  • Classidで識別される1つのトラフィックシェーピングルール
  • パケットを特定のマーク値にマークする1つのnetfilterルール
  • そのパケットマークをクラスIDにバインドする1つのフィルター。これにより、指定されたパケットにトラフィック制御ルールが適用されます。

@Zoredacheの例は機能しますが、私は個人的に、パケットのフィルタリングにTCではなくNetfilter機能を使用し、シェーピングアルゴリズムにCBQではなくHTBを使用することを好みます。したがって、次のようなことを試すことができます(連想配列にはBash 4が必要です)。

#! /bin/bash
NETCARD=eth0
MAXBANDWIDTH=100000

# reinit
tc qdisc del dev $NETCARD root handle 1
tc qdisc add dev $NETCARD root handle 1: htb default 9999

# create the default class
tc class add dev $NETCARD parent 1:0 classid 1:9999 htb rate $(( $MAXBANDWIDTH ))kbit ceil $(( $MAXBANDWIDTH ))kbit burst 5k prio 9999

# control bandwidth per IP
declare -A ipctrl
# define list of IP and bandwidth (in kilo bits per seconds) below
ipctrl[192.168.1.1]="256"
ipctrl[192.168.1.2]="128"
ipctrl[192.168.1.3]="512"
ipctrl[192.168.1.4]="32"

mark=0
for ip in "${!ipctrl[@]}"
do
    mark=$(( mark + 1 ))
    bandwidth=${ipctrl[$ip]}

    # traffic shaping rule
    tc class add dev $NETCARD parent 1:0 classid 1:$mark htb rate $(( $bandwidth ))kbit ceil $(( $bandwidth ))kbit burst 5k prio $mark

    # netfilter packet marking rule
    iptables -t mangle -A INPUT -i $NETCARD -s $ip -j CONNMARK --set-mark $mark

    # filter that bind the two
    tc filter add dev $NETCARD parent 1:0 protocol ip prio $mark handle $mark fw flowid 1:$mark

    echo "IP $ip is attached to mark $mark and limited to $bandwidth kbps"
done

#propagate netfilter marks on connections
iptables -t mangle -A POSTROUTING -j CONNMARK --restore-mark

-edit:デフォルトのクラスを忘れて、スクリプトの最後でマークを伝播する。

19
Julien Vehent

このようなことは、請負業者のWebカメラを限られた帯域幅に制限するのに役立ちました。詳細は tc のmanページをご覧ください。

#!/bin/bash
set -x

DEV=eth0
export DEV

tc qdisc del dev $DEV root
tc qdisc del dev $DEV root
tc qdisc add dev $DEV root handle 1: cbq avpkt 1000 bandwidth 100mbit

# setup a class to limit to 1500 kilobits/s
tc class add dev $DEV parent 1: classid 1:1 cbq rate 1500kbit \
   allot 1500 prio 5 bounded isolated

# add traffic from 10.2.1.37 to that class
tc filter add dev $DEV parent 1: protocol ip prio 16 u32 \
   match ip src 10.2.1.37 flowid 1:1
5
Zoredache

私はあなたの質問を正しく理解しているとは思いません。

透過プロキシ(Squid for HTTPなど)は、主に着信データを制御するために使用されます。一方、トラフィックシェーピングは発信データの制御に使用されます。

詳細を入力する必要があります。 HTTPプロキシの背後に多数のワークステーションがあり、それらのダウンロード速度を制限しようとしている場合は、Squid +遅延プールなどを使用することをお勧めします。

1
halp