新建连接速率控制 后台指令
作用:
使用 hashlimit 限制 新建连接 速率。
源 ip 新建连接速率控制 iptables 指令:
iptables -A FORWARD -s <src_ip>/<src_ip_mask> -m state --state NEW -m hashlimit --hashlimit-name <limit_name> --hashlimit-above <limit_rate>/<limit_unit> --hashlimit-burst <burst> --hashlimit-mode srcip --hashlimit-srcmask <src_ip_mask> -j DROP
目的 ip 新建连接速率控制 iptables 指令:
iptables -A FORWARD -d <dst_ip>/<src_ip_mask> -m state --state NEW -m hashlimit --hashlimit-name <limit_name> --hashlimit-above <limit_rate>/<limit_unit> --hashlimit-burst <burst> --hashlimit-mode dstip --hashlimit-dstmask <dst_ip_mask> -j DROP
注意:
<burst>
的 数值最好 略大于 <limit_rate>
,可以保证流量限制又一定的余量。
如果 <burst>
的数组接近于 0
,会非常容易丢包。
变量解释
<src_ip>
- 描述:源 ip
- 值域:0.0.0.0~255.255.255.255
<dst_ip>
- 描述:目的 ip
- 值域:0.0.0.0~255.255.255.255
<src_ip_mask>
- 描述:源 ip 掩码长度:
- 值域:0~32
<dst_ip_mask>
- 描述:目的 ip 掩码长度:
- 值域:0~32
<limit_name>
- 描述:哈希表名称
- 值域:英文字符串 (注意:不可以用中文)
<limit_rate>
- 描述:最大连接速率
- 值域:1~65535
<limit_unit>
- 描述:时间单位
- 值域:{ sec | min | hour | day }
<bu