使用 hashlimit 限制 新建连接 速率

最新推荐文章于 2024-01-01 23:07:24 发布
最新推荐文章于 2024-01-01 23:07:24 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: linux iptables 安全 network
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yk_wing4/article/details/89962223
版权
本文详细介绍了如何使用iptables的hashlimit模块来限制新建连接的速率,包括源IP和目标IP的控制,提供了参数解释、示例配置、测试用例以及相关参考资源,帮助读者理解和应用此技术进行网络流量管理。
摘要由CSDN通过智能技术生成

新建连接速率控制 后台指令

作用:
使用 hashlimit 限制 新建连接 速率。

源 ip 新建连接速率控制 iptables 指令:

	iptables -A FORWARD -s <src_ip>/<src_ip_mask> -m state --state NEW -m hashlimit --hashlimit-name <limit_name> --hashlimit-above <limit_rate>/<limit_unit> --hashlimit-burst <burst> --hashlimit-mode srcip --hashlimit-srcmask <src_ip_mask> -j DROP

目的 ip 新建连接速率控制 iptables 指令:

	iptables -A FORWARD -d <dst_ip>/<src_ip_mask> -m state --state NEW -m hashlimit --hashlimit-name <limit_name> --hashlimit-above <limit_rate>/<limit_unit> --hashlimit-burst <burst> --hashlimit-mode dstip --hashlimit-dstmask <dst_ip_mask> -j DROP

注意:
<burst> 的 数值最好 略大于 <limit_rate>,可以保证流量限制又一定的余量。
如果 <burst> 的数组接近于 0,会非常容易丢包。

变量解释

<src_ip>

  • 描述:源 ip
  • 值域:0.0.0.0~255.255.255.255

<dst_ip>

  • 描述:目的 ip
  • 值域:0.0.0.0~255.255.255.255

<src_ip_mask>

  • 描述:源 ip 掩码长度:
  • 值域:0~32

<dst_ip_mask>

  • 描述:目的 ip 掩码长度:
  • 值域:0~32

<limit_name>

  • 描述:哈希表名称
  • 值域:英文字符串 (注意:不可以用中文)

<limit_rate>

  • 描述:最大连接速率
  • 值域:1~65535

<limit_unit>

  • 描述:时间单位
  • 值域:{ sec | min | hour | day }

<bu

最低0.47元/天 解锁文章
Andrew Yang
关注
专栏目录
hashlimit模块实现分析
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
07-07 2841
免责声明:有些地方没有仔细看,如有错误,不负责任,欢迎指正好久不发贴子了,来骗点积分。1、引言一直用tc来做流控,偶然发现Netfilter有一个名为hashlimit的东东,是基于TBF(令牌桶算法)的简单的流量控制的。例如:QUOTE:iptables -A INPUT -p tcp --dport 22 -m hashlimit
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2191
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网与私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换)与 SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
关于limit hashlimit资料整理
weixin_34099526的博客
03-26 170
这几天正在捣鼓防火墙,用到了hashlimit模块。Google了一圈发现相关的文档无论英文还 是中文都很少, 所以我就把自己的折腾的心得记录下来吧。 hashlimit是iptables的一个匹配模块,用它结合iptables的其它命令可以实现限速的功能 。(注意,单独hashlimit模块 是无法限速的)。 不过首先必须明确,hashlimit本身只是一个“匹...
iptables中用hashlimit来限速
eydwyz的专栏
11-28 9813
hashlimit是iptables的一个匹配模块,用它结合iptables的其它命令可以实现限速的功能(注意,单独hashlimit模块是无法限速的)。   不过首先必须明确,hashlimit本身只是一个“匹配”模块。我们知道,iptables的基本原理是“匹配--处理”,hashlimit在这个工作过程中只能起到匹配的作用,它本身是无法对网络数据包进行任何处理的。我看到网上有些hash
防火墙的四项基本性能指标:吞吐量、时延、新建连接速率、并发连接
weixin_42177030的博客
05-12 9762
  吞吐量是衡量一款防火墙或者路由交换设备的最重要的指标,它是指网络设备在每一秒内处理数据包的最大能力。吞吐量意味这台设备在每一秒以内所能够处理的最大流量或者说每一秒内能处理的数据包个数。设备吞吐量越高,所能提供给用户使用的带宽越大,就像木桶原理所描述的,网络的最大吞吐取决于网络中的最低吞吐量设备,足够的吞吐量可以保证防火墙不会成为网络的瓶颈。举一个形象的例子,一台防火墙下面有100个用户同时上网,每个用户分配的是10Mbps的带宽,那么这台防火墙如果想要保证所有用户全速的网络体验,必须要有至少1Gbps的
hashlimit速率控制
redwingz的博客
07-03 653
iptables扩展匹配hashlimithashlimit-mode指定为空时,等同于limit匹配。如下hashlimit限制每秒不超过50个报文。 根据hashlimit-name创建如下的PROC文件,由于没有指定hashlimit-mode,源IP、目的IP和源端口、目的端口字段都为零: 同等的功能由limit匹配实现,如下,限制每秒不超过50个报文。 报文限制 使用hashlimit-mode参数指定srcip,依据源IP地址,将每个IP的速率限制在每分钟5个报文,哈希表项的超时时长为30秒钟
xt_hashlimit2:升级的哈希限制
03-22
xt_hashlimit2 带有一些创新选项的更快的xt_hashlimit hashlimit2 match options: --hashlimit2-upto <avg> max average match rate [Packets per second unless followed by /sec /minute /hour /day postfixes...
openwrt-DB120-squashfs-cfe(IPID_hashlimit_connlimit).bin
06-03
openwrt DB120 英文版 登录名:root 密码 :admin
iptables源代码分析之hashlimit模块
脚踏实地,不断突破自我,每天有收获就OK
01-09 1181
参考链接 http://os.51cto.com/art/201109/294482.htm
创建大量TCP连接时会受到什么因素的限制
aoeaoao的博客
01-28 866
创建大量TCP连接时会受到什么因素的限制
iptables hashlimit模块介绍(zz)
不用此栏
05-25 4587
这几天正在捣鼓防火墙,用到了hashlimit模块。Google了一圈发现相关的文档无论英文还 是中文都很少, 所以我就把自己的折腾的心得记录下来吧。 hashlimit是iptables的一个匹配模块,用它结合iptables的其它命令可以实现限速的功能 。(注意,单独hashlimit模块 是无法限速的)。 不过首先必须明确,hashlimit本身只是一个“匹配”模块。我们知道,iptable
限制服务器的端口连接数量和端口速度
热门推荐
jun2016425的博客
01-06 1万+
使用iptables设定特定端口连接数(万能方法) 限制端口连接数量 首先输入命令service iptables stop关闭iptables 限制端口并发数很简单,IPTABLES就能搞定了,假设你要限制端口8388的IP最大连接数为5,两句话命令: iptables -I INPUT -p tcp –dport 8388 -m connlimit –connlimit-above 5
服务器的TCP连接限制:如何优化并提高服务器的并发连接数?
最新发布
qq_45260619的博客
01-01 1510
🌈🌈🌈🌈🌈🌈🌈🌈 欢迎关注公众号(通过文章导读关注),发送【资料】可领取 深入理解 Redis 系列文章结合电商场景讲解 Redis 使用场景、中间件系列笔记和编程高频电子书! 【11来了】文章导读地址:点击查看文章导读! 🍁🍁🍁🍁🍁🍁🍁🍁
iptables hashlimit模块介绍
weixin_33887443的博客
08-03 156
信人:roy(大饼:己所不欲,勿施于人),信区:LinuxDev 标题:iptableshashlimit模块介绍 发信站:水木社区(TueMay2214:32:052007),站内 这几天正在捣鼓防火墙,用到了hashlimit模块。Google了一圈发现相关的文档无论英文还是中文都很少, 所以我就把自己的折腾的心得记录下来吧。 ...
linux iptables源ip替换,linux – iptables中的源IP速率限制hashlimit vs recent
weixin_35457595的博客
05-08 214
我想在iptables中对每个源IP执行速率限制.例如,将主机可以建立新SSH连接速率限制为每分钟5次.据我所知,有两种方法可以做到这一点:使用hashlimit模块iptables -A INPUT -p tcp --dport 22 -m state --state NEW \-m hashlimit --hashlimit-name SSH --hashlimit-above 5/min ...
关于iptables hashlimit(limit)限速测试
weixin_34128237的博客
04-18 846
最近在研究一个话题,就是iptables 怎么利用hashlimitlimit 结合限速使有效的带宽最大用户使用 测试环境:MTU=1492 eth1 (内网口) eth0(公网出口) 着先,明白hashlimit 各参数的意义 -m hashlimit --hashlimit-name --ha...
阿苏斯固件QOS限速
eydwyz的专栏
11-29 762
原来标题: 路由器刷了个阿苏斯的固件。结果意外的好用。 QOS脚本 1.注意脚本开头: export UIP="192.168.1."\n export NET="192.168.1.0/24"\n export UP=40\n export DOWN=170\n export UPLOADR=2\n export UPLOADC=
linux 限制ip速度,linux – iptables中的源IP速率限制hashlimit vs recent
weixin_36332616的博客
05-04 340
我想在iptables中对每个源IP执行速率限制.例如,将主机可以建立新SSH连接速率限制为每分钟5次.据我所知,有两种方法可以做到这一点:使用hashlimit模块iptables -A INPUT -p tcp --dport 22 -m state --state NEW \-m hashlimit --hashlimit-name SSH --hashlimit-above 5/min ...
Linux5.4.61 安装docker要打开哪些内核配置
06-09
要安装 Docker,需要在 Linux 内核中开启以下配置: 1. 需要开启 cgroup 控制组支持,包括 cgroup v1 和 cgroup v2,开启方式如下: ``` CONFIG_CGROUPS=y CONFIG_CGROUP_CPUACCT=y CONFIG_CGROUP_DEVICE=y CONFIG_CGROUP_FREEZER=y CONFIG_CGROUP_SCHED=y CONFIG_CGROUP_PERF=y CONFIG_CGROUP_HUGETLB=y CONFIG_CGROUP_NET_CLS=y CONFIG_CGROUP_NET_PRIO=y CONFIG_CGROUP_NET_CLASSID=y CONFIG_CGROUP_BLKIO=y CONFIG_CGROUP_RDMA=y CONFIG_CGROUP_PIDS=y CONFIG_CGROUP_SOCKOPT=y CONFIG_CGROUP_DEBUG=y ``` 2. 需要开启 Namespace 支持,包括 Mount Namespace、UTS Namespace、IPC Namespace、PID Namespace 和 Network Namespace,开启方式如下: ``` CONFIG_NAMESPACES=y CONFIG_UTS_NS=y CONFIG_IPC_NS=y CONFIG_PID_NS=y CONFIG_NET_NS=y ``` 3. 需要开启 OverlayFS 文件系统支持,开启方式如下: ``` CONFIG_OVERLAY_FS=y ``` 4. 需要开启 iptables 软件包过滤支持,开启方式如下: ``` CONFIG_NETFILTER_XT_MATCH_COMMENT=y CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y CONFIG_NETFILTER_XT_MATCH_DCCP=y CONFIG_NETFILTER_XT_MATCH_ESP=y CONFIG_NETFILTER_XT_MATCH_HASHLIMIT=y CONFIG_NETFILTER_XT_MATCH_HELPER=y CONFIG_NETFILTER_XT_MATCH_IPRANGE=y CONFIG_NETFILTER_XT_MATCH_L2TP=y CONFIG_NETFILTER_XT_MATCH_LENGTH=y CONFIG_NETFILTER_XT_MATCH_LIMIT=y CONFIG_NETFILTER_XT_MATCH_MAC=y CONFIG_NETFILTER_XT_MATCH_MARK=y CONFIG_NETFILTER_XT_MATCH_MULTIPORT=y CONFIG_NETFILTER_XT_MATCH_NFACCT=y CONFIG_NETFILTER_XT_MATCH_OSF=y CONFIG_NETFILTER_XT_MATCH_OWNER=y CONFIG_NETFILTER_XT_MATCH_POLICY=y CONFIG_NETFILTER_XT_MATCH_PROTO=y CONFIG_NETFILTER_XT_MATCH_RATEEST=y CONFIG_NETFILTER_XT_MATCH_RECENT=y CONFIG_NETFILTER_XT_MATCH_SCTP=y CONFIG_NETFILTER_XT_MATCH_STATE=y CONFIG_NETFILTER_XT_MATCH_STATISTIC=y CONFIG_NETFILTER_XT_MATCH_STRING=y CONFIG_NETFILTER_XT_MATCH_TCPMSS=y CONFIG_NETFILTER_XT_MATCH_TIME=y CONFIG_NETFILTER_XT_MATCH_U32=y CONFIG_NETFILTER_XT_TARGET_AUDIT=y CONFIG_NETFILTER_XT_TARGET_CHECKSUM=y CONFIG_NETFILTER_XT_TARGET_CLASSIFY=y CONFIG_NETFILTER_XT_TARGET_CONNMARK=y CONFIG_NETFILTER_XT_TARGET_CPU=y CONFIG_NETFILTER_XT_TARGET_DSCP=y CONFIG_NETFILTER_XT_TARGET_HL=y CONFIG_NETFILTER_XT_TARGET_HMARK=y CONFIG_NETFILTER_XT_TARGET_IDLETIMER=y CONFIG_NETFILTER_XT_TARGET_LED=y CONFIG_NETFILTER_XT_TARGET_LOG=y CONFIG_NETFILTER_XT_TARGET_MARK=y CONFIG_NETFILTER_XT_NAT=y CONFIG_NETFILTER_XT_TARGET_NETMAP=y CONFIG_NETFILTER_XT_TARGET_NFLOG=y CONFIG_NETFILTER_XT_TARGET_NFQUEUE=y CONFIG_NETFILTER_XT_TARGET_NOTRACK=y CONFIG_NETFILTER_XT_TARGET_RATEEST=y CONFIG_NETFILTER_XT_TARGET_REDIRECT=y CONFIG_NETFILTER_XT_TARGET_TEE=y CONFIG_NETFILTER_XT_TARGET_TPROXY=y CONFIG_NETFILTER_XT_TARGET_TRACE=y ``` 请注意,这些配置项可能随着不同版本的内核而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值