tc端口流量控制
tc真的是个巨坑,搞了一天才明白问题出在哪,记录一下。
tc前置
首先强调一下,tc只管发包,不管收包的事。tc只管发包,不管收包的事。tc只管发包,不管收包的事。重要的事说三遍,坑就出在这里,很容易给绕晕过去。换言之,tc只管出站(出网卡)的流量,不管进来的流量,当然这句话也不完全是,因为即使是本地回环lo,也是这么一回事。
更具体地说,我们将包简单的解构为:[source-ip] | [source-port] | [other-data] | [destination-ip] | [destination-port]
这对后面的说明和理解会有较大的帮助。这个包显然是由 source-ip 机器的 source-port 发送出去的,经由的是 source 机器的网卡。因此如果要做限流,在 destination 机器上的网卡设置规则是没有意义的,只能在 source 机器的网卡上限制规则。
具体操作
首先简单了解一下tc的三大功能,其他可以忽略,当然要想深入可以去看参考资料的demo。这三个就可以简单完成端口流量控制的目标了,重点其实是后两个。
- tc-qdisc:队列规则。后面用的是htb层次令牌桶的队列。队列是用来管理消息进出和分发的。
- tc-class:定义队列规则类。每个类可以简单理解成一个子队列,有着独立的规则。
- tc-filter:定义过滤器。端口控流就用得到了,如果和iptables配合还可以专门过滤出带有特殊标志的包。实际上就是将包过滤到特定class的队列去。
来一遍实操就懂了,这里默认对外的网卡是enp8s0
,本地回环是lo
,这两个都可以实现端口控流。
先删除root已有的队列规则(del是delete,root是根队列,dev是device,enp8s0是网卡名,可以通过ip addr查看):
sudo tc qdisc del root dev enp8s0
重建roo