Перейти к содержимому
Калькуляторы

ipt-ratelimit трафик полисинг в iptables

Нет конечно, всё ручками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, Susanin сказал:

Доброго времени.

Большой респект автору и вопрос: есть ли какой механизм сохранения/восстановления настроек при перезапуске iptables ?

 

Я выгружаю скриптом по крону, потом при старте подхватываю так же скриптом

 

ps: зачем рестартовать iptables?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет. 

Никто не наблюдал утечки памяти после начала использования данного модуля?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, avovtchak сказал:

Всем привет. 

Никто не наблюдал утечки памяти после начала использования данного модуля?

 

Нет, использую в нескольких проектах, везде всё отлично работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 hours ago, Susanin said:

Доброго времени.

Большой респект автору и вопрос: есть ли какой механизм сохранения/восстановления настроек при перезапуске iptables ?

 

У меня этим занимается биллинг, который управляет сервисами с проверкой состояния.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

народ, а на nftables кто уже пробовал переехать?  как работает лучше-хуже? если переехали можно пример 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А оно разве будет работать с nft?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по идее должно, т.к nftables уже имеет встроенный ipset -vmap если не ошибаюсь , а как вот выставить ratelimit пока не пойму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем привет.

Пытаюсь ограничить скорость доступа в интернет, но оставить без ограничений скорость доступа к серверам, находящимся в сети 192.168.140.0/24 
 

/sbin/iptables -A FORWARD -d !192.168.140.0/24 -m ratelimit --ratelimit-set uplimit   --ratelimit-mode src -j DROP
/sbin/iptables -A FORWARD -s !192.168.140.0/24 -m ratelimit --ratelimit-set downlimit --ratelimit-mode dst -j DROP

Получаю следующую ошибку

iptables v1.6.0: host/network `!192.168.140.0' not found
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.6.0: host/network `!192.168.140.0' not found
Try `iptables -h' or 'iptables --help' for more information.

Я что то делаю неверно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

man iptables:



...

[!] -d, --destination address[/mask][,...]
...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 hours ago, vop said:

man iptables:

 

 

 

Да, спасибо, уже увидел. Оказывается в разных версиях iptables этот синтаксис отличается

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2aabc, А нету желания добавить поддержку ограничения для групп? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ подскажите как оно с новыми версиями ядер/iptables дружит?

А то на гите последнее обновление два года назад.

Проект не заброшен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Собирается на ядрах вплоть до 5.16 и iptables-1.8.7 (новее не проверялось). И даже работает. Но проблема, что нельзя задать полосу более 2 гигабит остается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 2/15/2022 at 7:21 AM, Стич said:

новыми версиями ядер/iptables дружит

nftables, нет там iptables.

 

"nft add table inet in

nft add chain inet in rules-il { type filter hook prerouting priority 0\; policy accept\;}

nft add rule inet in rules-il ip saddr 192.168.0.254 limit rate over 10 kbytes/second counter drop

nft list table inet in;

"

 

Изменено пользователем h3ll1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 15.02.2022 в 23:48, h3ll1 сказал:

nftables, нет там iptables.

В смысле?

То что некоторые OS выкинули iptables слышал,

что новые ядра iptables не поддерживают сомневаюсь.

Изменено пользователем Стич

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поддерживается, но в больших случаев там iptables-translate переводчик для удобства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 16.02.2022 в 04:48, h3ll1 сказал:

nft add rule inet in rules-il ip saddr 192.168.0.254 limit rate over 10 kbytes/second counter drop

На сколько это все хорошо работает со списком правил ~10 тыс? Ситуация с плоским фильтром iptables не повторяется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 16.02.2022 в 16:20, taf_321 сказал:

На сколько это все хорошо работает со списком правил ~10 тыс? Ситуация с плоским фильтром iptables не повторяется?

Емнип, в nft, работа со списками аля ipset бай дизайн.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, pppoetest сказал:

Емнип, в nft, работа со списками аля ipset бай дизайн.

это еще не о чем не говорит, кто нибудь пробовал 10k ip на 10Gbps?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проблемов нет (у меня 2к абонов, но поделил на 3 източника и так правила становятся 6к на вход и 6к изход).

Quote

 nft list ruleset | wc
  77025  276179 2987012

Делаеш так:

ip daddr vmap { 10.10.115.10 : goto chain-390-cl-2, 10.10.115.11 : goto chain-390-cl-3 }

chain chain-390-cl-2 {
                limit rate over 125000 kbytes/second counter packets 0 bytes 0 drop
        }

        chain chain-390-cl-3 {
                limit rate over 6250 kbytes/second counter packets 0 bytes 0 drop
        }
Примерно.

Изменено пользователем h3ll1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 16.02.2022 в 13:20, taf_321 сказал:

Ситуация с плоским фильтром iptables не повторяется?

Есть же готовые утилиты, чтобы плоский список преобразовать в бинарное дерево.

Для ipfw точно есть, но наверное и под iptables можно адаптировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 17.02.2022 в 15:17, h3ll1 сказал:

ip daddr vmap { 10.10.115.10 : goto chain-390-cl-2, 10.10.115.11 : goto chain-390-cl-2 }

chain chain-390-cl-2 {
                limit rate over 125000 kbytes/second counter packets 0 bytes 0 drop
        }

Вот в этом случае скорость 125000 kbytes/second будет делиться между 10.10.115.10 и 10.10.115.11, или 125000 kbytes/second выделяться каждому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поправил на

 ip daddr vmap { 10.10.115.10 : goto chain-390-cl-2, 10.10.115.11 : goto chain-390-cl-3 }

Бивает у абона есть несколько адресов, тогда все на 1 чейн.

 

Вмап разносит их на 2 самостоятельние chains. t.e chain chain-390-cl-2 дла абон 1, chain-390-cl-3 для абон2 и тд.

Если хотите целую группу полисить, то там ставится правило впереди вмап-а.

Изменено пользователем h3ll1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.