linuxhtb

⑴ TC - linux 流量控制工具

參考： TC - Linux 流量控制工具 | Life is magic. Coding is art. (int64.me)

TC(Linux下流量控制工具)詳細說明及應用_Gino的專欄-CSDN博客

本來打算直接列一波用法，但是總覺得，不記錄一下原理，操作起來也是一臉懵逼。 TC 通過建立處理數據包隊列，並定義隊列中數據包被發送的方式，從而實現進行流量控制。TC 模擬實現流量控制功能使用的隊列分為兩類：

classful 隊列規定（qdisc）, 類（class）和過濾器（filter）這 3 個組件組成，繪圖中一般用圓形表示隊列規定，用矩形表示類，圖 自 Linux 下 TC 以及 netem 隊列的使用

都是以一個根 qdisc 開始的，若根 qdisc 是不分類的隊列規定，那它就沒有子類，因此不可能包含其他的子對象，也不會有過濾器與之關聯，發送數據時，數據包進入這個隊列裡面排隊，然後根據該隊列規定的處理方式將數據包發送出去。

分類的 qdisc 內部包含一個或多個類，而每個類可以包含一個隊列規定或者包含若干個子類，這些子類友可以包含分類或者不分類的隊列規定，如此遞歸，形成了一個樹。

句柄號：qdisc 和類都使用一個句柄進行標識，且在一棵樹中必須是唯一的，每個句柄由主號碼和次號碼組成 qdisc 的次號碼必須為 0（0 通常可以省略不寫）

根 qdisc 的句柄為 1：，也就是 1：0。類的句柄的主號碼與它的父輩相同（父類或者父 qdisc），如類 1：1 的主號碼與包含他的隊列規定 1：的主號碼相同，1：10 和 1：11 與他們的父類 1：1 的主號碼相同，也為 1。

新建一個類時，默認帶有一個 pfifo_fast 類型的不分類隊列規定，當添加一個子類時，這個類型的 qdisc 就會被刪除，所以，非葉子類是沒有隊列規定的，數據包最後只能到葉子類的隊列規定裡面排隊。

若一個類有子類，那麼允許這些子類競爭父類的帶寬，但是，以隊列規定為父輩的類之間是不允許相互競爭帶寬的。

默認 TC 的 qdisc 控制就是出口流量，要使用 TC 控制入口，需要把流量重定向到 ifb 網卡，其實就是加了一層，原理上還是控制出口 。

為何要先說 classless 隊列，畢竟這個簡單嘛，要快速使用，那麼這個就是首選了。基於 classless 隊列，我們可以進行故障模擬，也可以用來限制帶寬。

TC 使用 linux network netem 模塊進行網路故障模擬

網路傳輸並不能保證順序，傳輸層 TCP 會對報文進行重組保證順序，所以報文亂序對應用的影響比上面的幾種問題要小。

報文亂序可前面的參數不太一樣，因為上面的報文問題都是獨立的，針對單個報文做操作就行，而亂序則牽涉到多個報文的重組。模擬報亂序一定會用到延遲（因為模擬亂序的本質就是把一些包延遲發送），netem 有兩種方法可以做。

以 tbf (Token Bucket Filter) 為例，

參數說明：

限制 100mbit

限制延遲 100ms, 流量 100mbit

這個就復雜一些，同樣也特別靈活，可以限制特定的 ip 或者服務類型以及埠

以使用 htb 為例

使用 TC 進行入口限流，需要把流量重定向到 ifb 虛擬網卡，然後在控制 ifb 的輸出流量

⑵ linux中如何控制埠流量

配置網卡
建立一台虛擬機，並安裝完成後以橋接的方式在虛擬機上面添加兩張網卡。分別為eth0和eth1。
eth0: a.b.c.d(外網的上網地址)
eth1: 172.16.44.1(做為內網的網關)

Tip
原先我使用eth0:0的這種虛擬網卡的形式去配置一直不成功，後來使用雙網卡的時候一直忘了把eth0:0這張虛擬網卡刪掉導致了限速配置一直不成功，浪費了大把的青蔥。
配置iptables nat
#開啟ip_forward
echo "1">/proc/sys/net/ipv4/ip_forward

#清除原來的防火牆規則
iptables -F
iptables -t nat -F
iptables -t mangle -F

#添加nat轉發
iptables -t nat -A POSTROUTING -s 172.16.44.0/24 -o eth0 -j MASQUERADE

通過執行上面的代碼後，區域網內的電腦就可以上網了。
埠轉發
由於我的內網還掛了網站，所以要開啟80埠的轉發。
iptables -t nat -I PREROUTING -p tcp -d a.b.c.d --dport 80 -j DNAT --to 172.16.44.210:80
iptables -t nat -I POSTROUTING -p tcp -d 172.16.44.210 --dport 80 -j SNAT --to 172.16.44.1

這條命令指定外網地址a.b.c.d的80埠轉發到172.16.44.210:80上。由於是雙網卡，所以需要做一下迴路。
下載限速
下載限速要在eth1上面做，判斷數據包的目的地址來做限制。tc包括三部分：隊列、類、過濾器。我使用了htb方式去限制速度，也可以使用cbq，但cbq配置比較復雜一點，而且據說性能沒htb好。
#刪除原來的tc規則隊列
tc qdisc del dev eth1 root
#添加tc規則隊列
tc qdisc add dev eth1 root handle 10: htb default 256
#生成根類
tc class add dev eth1 parent 10: classid 10:1 htb rate 100mbit ceil 100mbit
#支類列表用於限制速度
#這里的rate指的是保證帶寬,ceil是最大帶寬。
tc class add dev eth1 parent 10:1 classid 10:10 htb rate 400kbps ceil 400kbps prio 1

#添加支類規則隊列
#採用sfq偽隨機隊列，並且10秒重置一次散列函數。
tc qdisc add dev eth1 parent 10:10 handle 101: sfq perturb 10

#建立網路包過濾器，設置fw。
tc filter add dev eth1 parent 10: protocol ip prio 10 handle 1 fw classid 10:10
#在iptables裡面設定mark值，與上面的handle值對應。
iptables -t mangle -A POSTROUTING -d 172.16.44.130 -j MARK --set-mark 1

通過上面的代碼就可以限制172.16.44.130這台機子的下載速度到400kbps。
Tip
經過實際測試這里的kbps實際上就是KB/S每秒千位元組。另一個單位是kbit，這個才是每秒千比特。這里的172.16.44.130也可以寫成一個網段，比如：172.16.44.0/24
上傳限速
上傳限速的原理其實跟下載的差不多，只不過限制的網卡不同，要在eth0上過濾來源地址去限制。
#刪除原來的tc規則隊列
tc qdisc del dev eth0 root

#添加tc規則隊列
tc qdisc add dev eth0 root handle 20: htb default 256

#生成根類
tc class add dev eth0 parent 20: classid 20:1 htb rate 100mbit ceil 100mbit

#支類列表用於限制速度
tc class add dev eth0 parent 20:1 classid 20:10 htb rate 40kbps ceil 40kbps prio 1

#添加支類規則隊列
tc qdisc add dev eth0 parent 20:10 handle 201: sfq perturb 10

#建立網路包過濾器
tc filter add dev eth0 parent 20: protocol ip prio 100 handle 2 fw classid 20:10
iptables -t mangle -A PREROUTING -s 172.16.44.130 -j MARK --set-mark 2

Tip
跟下載不同的是POSTROUTING要改成PREROUTING，-d改成-s。
觀察連接數
通過iptables的nat連接可以通過下面的代碼查看。至於統計連接數可以寫代碼實現，也可以利用awk,grep等工具。反正裡面的內容就是文本，處理起來也比較簡單。
cat /proc/net/ip_conntrack

寫在結尾
到此上網、埠轉發和流量限制都已經實現。下次再考慮配置個dhcp server和dnsmasq。至於一些路由器其它諸如mac地址綁定，限制上網等用到的時候再去研究研究。

⑶ linux伺服器要怎樣針對IP流量限制

不是木馬，是設置問題，下面是流量的控制方法一、Linux流量控制過程分二種：1、隊列控制即QOS,瓶頸處的發送隊列的規則控制，常見的有SFQPRIO2、流量控制即帶寬控制,隊列的排隊整形，一般為TBFHTB二、Linux流量控制演算法分二種：1、無類演算法用於樹葉級無分支的隊列，例如：SFQ2、分類演算法用於多分支的隊列，例如：PRIOTBFHTB三、具體實現：1.在網卡上建立以SFQ演算法的限流#tcqdiscadddeveth0roothandle1:sfqSFQ參數有perturb(重新調整演算法間隔)quantum基本上不需要手工調整:handle1:規定演算法編號..可以不用設置由系統指定..#tcqdiscshdeveth0顯示演算法#tcqddeldeveth0root刪除注:默認eht0支持TOS2.在網卡建立以TBF演算法的限流#tcqdadddeveth1roothandle1:速率256kbit突發傳輸10k最大延遲50ms#tc-sqdshdeveth1統計#tcqddeldeveth1root刪除3.在網卡建立PRIO#tcqdiscadddeveth0roothandle1:prio#此命令立即創建了類:1:1,1:2,1:3(預設三個子類)#tcqdiscadddeveth0parent1:1handle10:sfq#tcqdiscadddeveth0parent1:2handle20:注:此為TBF限速的另一寫法,前文有講解.#tcqdiscadddeveth0parent1:3handle30:sfq4.WEB伺服器的流量控制為5Mbps,SMTP流量控制在3Mbps上.而且二者一共不得超過6Mbps,互相之間允許借用帶寬#tcqdiscadddeveth0roothandle1:#tcclassadddeveth0parent1:0classid1:.這部分按慣例設置了根為1:0,並且綁定了類1:1.也就是說整個帶寬不能超過6Mbps.#tcclassadddeveth0parent1:1classid1:.#tcclassadddeveth0parent1:1classid1:.建立了2個類.注意我們如何根據帶寬來調整weight參數的.兩個類都沒有配置成"bounded",但它們都連接到了類1:1上,而1:1設置了"bounded".所以兩個類的總帶寬不會超過6Mbps.別忘了,同一個CBQ下面的子類的主號碼都必須與CBQ自己的號碼相一致!#tcqdiscadddeveth0parent1:3handle30:sfq#tcqdiscadddeveth0parent1:4handle40:sfq預設情況下,兩個類都有一個FIFO隊列規定.但是我們把它換成SFQ隊列,以保證每個數據流都公平對待.#tcfilteradddeveth0parent1::3#tcfilteradddeveth0parent1::46.過濾器過濾示例#::1在10:節點添加一個過濾規則,優先權1:凡是去往22口(精確匹配)的IP數據包,發送到頻道10:1..#::1在10:節點添加一個過濾規則,優先權1:凡是來自80口(精確匹配)的IP數據包,發送到頻道10:1..#:prio2flowid10:2在eth0上的10:節點添加一個過濾規則,它的優先權是2:凡是上二句未匹配的IP數據包,發送到頻道10:2..#tcfilteradddeveth0parent10:.3.2.1/32flowid10:1去往4.3.2.1的包發送到頻道10:1其它參數同上例#tcfilteradddeveth0parent10:.2.3.4/32flowid10:1來自1.2.3.4的包發到頻道10:1#:prio2flowid10:2凡上二句未匹配的包送往10:2#tcfilteradddeveth0parent10:.3.2.1/:1可連續使用match,匹配來自1.2.3.4的80口的數據包