iptables limit 模块限速不准确原因分析

最新推荐文章于 2023-05-28 14:20:59 发布
最新推荐文章于 2023-05-28 14:20:59 发布
阅读量5.1k 收藏 16
点赞数 8
文章标签: netfilter iptables 限速
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/saintfox/article/details/53897559
版权
本文探讨iptables limit模块在限速时出现不准确的原因,分析了iptables用户空间的parse_rate函数和内核空间的令牌桶算法实现。指出由于除法运算误差及令牌生成策略,导致实际限速与设定值存在差异。
摘要由CSDN通过智能技术生成

iptables -I test -m limit --limit xxx/yyy
iptables用户空间:libxt_limit.c
int parse_rate(const char *rate, uint32_t *val)
该函数中*val = XT_LIMIT_SCALE * mult/ r;
XT_LIMIT_SCALE10000(时间精度)
mult:yyysmult:1yyymmult:60,yyyhmult是:60x60yyydmult是:24x60x60
rxxx
所以上式中的*val为传输一个包需要的时间。iptables显示的数字实际应该是:10000/(*val),即表示每秒允许的数据包数量。
iptables -I test -m limit --limit 2600/s为例:
*val=10000*1/2600=3
10000/3=3333
iptables -I test -m limit --limit 1400/s为例:
*val=10000*1/1400=7
10000/7=1428

 

iptables内核空间:xt_limit.c

staticstructxt_matchlimit_mt_reg__read_mostly={

    .name            ="limit",

    .revision        =0,

    .family          =NFPROTO_UNSPEC,

    .match           =limit_mt,

    .checkentry      =limit_mt_check,

    .destroy         =limit_mt_destroy,

    .matchsize       =sizeof(structxt_rateinfo),

#ifdef CONFIG_COMPAT

    .compatsize      =sizeof(struct
最低0.47元/天 解锁文章
saintfox001
关注
iptables规则不生效
weixin_45103766的博客
12-17 2608
iptables规则是匹配即停止的首先安装jdk1.8环境安装好sqldeveloper后,发现网络连接不通登陆到数据库服务器iptables -L -nviptables -A INPUT -s 172.16.152.109 -p tcp --dport 1542 -j ACCEPT后来发现还是不通,原来是顺序问题 首先安装jdk1.8环境 她使用的电脑是win7 32位系统,安装sqldeve...
iptables(5)常用扩展模块iprange、string、time、connlimitlimit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1593
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容。
iptable一些常见设置
cupidove的专栏
09-15 2026
怎样使用IPTABLES限制IP上传下载速度,如何用iptables限速?我们先来看范例: iptables限制某IP的上传速度为1000KB/秒(8Mbps,流入服务器带宽),即在此IP所在的服务器或VPS上wget的速度 iptables -A FORWARD -m limit -d 208.8.14.53 --limit 700/s --limit-burst 100 -j ACCEPT
iptables限速
asdfghj1221的博客
08-19 455
####限速 限制指定时间包的允许通过数量及并发数-m limit --limit n/{second/minute/hour}:指定时间内的请求速率"n"为速率,后面为时间分别为:秒、分、时--limit-burst [n]:在同一时间内允许通过的请求"n"为数字,不指定默认为5[root@nginx01 ~]# iptables -I INPUT -s 10.0.1.0/24 -p...
iptables limit 限速备忘
Linux/Unix 菜园
07-16 3145
iptables除了做防空以外还可以做限速,可以在一定程度上限制类似于DOS这样的攻击.iptables -A INPUT -p tcp -d 192.168.0.176 --dport 80 -m limit --limit 6/m --limit-burst 5 -j ACCEPT上面的语句告诉我们当有访问192.168.0.176的80端口的IP包数达到4个时limit-burst值
关于iptables和tc的限速理解
01-05 5675
关于iptables iptables 是包过滤软件,包过滤的顺序如下: 每一个包都会匹配 rule 策略,而每一个 rule 策略会有一个 action,触发了其中一个 rule 就不会触发另外一个 rule,但如果要触发的 rule 放在最后面,那么可以想象,包过滤的效率就会大大降低,所以设计策略的时候要尽量将常用的策略放在最前面,策略的顺序可以通过不断的调整 -A 和 -I 策略,甚
iptables 限速配置
钟明家
11-14 2245
1、connlimit: 连接数限制,对每IP所能够发起并发连接数做限制; # iptables -A INPUT -p tcp -m tcp –dport 22 -m connlimit –connlimit-above 3 –connlimit-mask 32 –connlimit-saddr -j DROP # iptables -A INPUT -p tcp -m tcp –dport ...
iptables扩展模块
qq_37369726的博客
03-18 976
扩展模块一:multiport 作用:可以指定多个离散的源端口或者目标端口,也可以指定连续的端口 //离散的 iptables -I INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,36,80 -j DROP 80到88端口,这个功能tcp模块也能实现连续的 iptables -A INPUT -s 192.168.247.170...
iptables安装limit
09-11
要使用 `limit` 匹配扩展,您需要确保内核模块 `xt_limit` 已经加载,通常是默认加载的。如果没有加载,可以使用如下命令加载: ```bash modprobe xt_limit ``` 使用 `limit` 匹配扩展的基本语法如下: ```bash ...
IPTables 限制速率,设备数和请求连接数
e5pool的博客
03-12 2019
IPTables 是一个 Linux 内核的防火墙工具,可以用于设置和管理网络规则。
iptables
xiaogaoxiaoyuan的博客
01-14 1096
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptableslimit
weixin_34228387的博客
02-02 717
iptables --limit --limit-burst 使用研究 1、限制特定包传入速度 2、限制特定端口传入频率 3、使用--limit限制ping的一个例子 4、用户自定义使用链 5、防范SYN-Flood碎片*** 1、限制特定包传入速度 参数 -m limit --limit 范例 iptables -A INPUT -m limit --l...
使用IPTABLES限制IP上传下载速度,如何用iptables限速
weixin_34318326的博客
05-04 1903
怎样使用IPTABLES限制IP上传下载速度,如何用iptables限速?我们先来看范例: iptables限制某IP的上传速度为1000KB/秒(8Mbps,流入服务器带宽),即在此IP所在的服务器或VPS上wget的速度 iptables -A FORWARD -m limit -d 208.8.14.53 --limit 700/s --limit-burst 100 -j ACCEPT i...
利用iptables网关限速的简单方法
weixin_34348111的博客
12-05 745
利用linux网关中的iptables 对网络内的用户做简单的限速。可以通过以下的脚本实现。 . #!/bin/bash for ((i = 1; i < 253; i++)) #这里给一个变量,是对于网内一个IP地址段做限速do /sbin/iptables -A FORWARD -s 192.168.2.$i -m limit –li...
iptables linux 限速
ganices的博客
02-26 333
iptables linux 限速 iptables -AINPUT -p tcp -s 10.10.243.94-m limit --limit=10/s -j ACCEPT iptables -AINPUT -p tcp -s 10.10.243.94 -j DROP iptables -nvL # 查看规则 iptables -F # 清空规则
iptables对指定ip限速
DONG999的专栏
05-28 1672
其中--limit 100/s是限制每秒数据包数量,一般情况下每个数据包可以按照1500个字节计算;--limit-burst 100是突发数据包。: 指定将令牌重新填充到存储桶中的速率。4/hour表示每小时4个令牌(每15分钟1个令牌)。: 指定存储桶中可以填充的令牌的最大数量。(这也是存储桶开始使用的令牌数量)。
linux 网卡限速(利用tc,iptables limit模块等)
weixin_34192816的博客
11-24 798
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 #利用iptableslimit模块限速 # #!/bin/bash #SPEED=`/bin/bash/etc/zabbix/script/flow.sh|cut-...
iptables limit
weixin_33890499的博客
05-14 186
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m...
怎么安装iptableslimit模块
最新发布
09-11
在Linux系统中,iptableslimit模块用于控制连接频率,以防止过多的请求导致服务器压力过大。安装iptableslimit模块通常不是一个单独的步骤,因为这个模块通常包含在iptables软件包中。但是,如果你发现你的系统中没有limit模块,可以通过以下步骤来确保iptables模块得到安装和更新。 以基于Debian的系统(如Ubuntu)为例,可以使用以下命令安装iptables及其扩展模块: ```bash sudo apt-get update sudo apt-get install iptables-persistent sudo apt-get install -y iptables-persistent ``` 对于基于RPM的系统(如CentOS或Fedora),使用以下命令: ```bash sudo yum update sudo yum install iptables ``` 对于较新的基于dnf的系统(如Fedora),使用以下命令: ```bash sudo dnf update sudo dnf install iptables ``` 如果这些命令没有帮助你安装limit模块,可能是因为iptables已经安装了但是limit模块没有正确加载。在这种情况下,你可以尝试重新加载iptables模块,以确保所有扩展模块都已正确加载: ```bash sudo modprobe ipt_limit ``` 如果上述方法仍然无法解决问题,可能需要检查你的Linux发行版是否提供了单独安装iptables模块的工具或方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值