Регистрация Войти
Рейтинг:1
Rushy avatar Server

IP-адреса ограничения скорости для трафика UDP в списке ipset перед отправкой через туннель GRE

флаг de
Rushy

Я использую nat DNAT для перенаправления трафика через определенный порт на другой сервер Centos через туннель GRE, однако я хочу ограничить скорость группы IP-адресов центров обработки данных, которые у меня есть в «черном списке» ipset. Таким образом, трафик, выходящий в туннель, ограничен по скорости.

Я пробовал ограничение скорости во всех списках FORWARD, INPUT и OUTPUT, однако ограничение скорости вообще не работает ни в одном из них - может быть, nat DNAT обходит его?

iptables -A INPUT -m set --match-set blacklist src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A FORWARD -m set --match-set blacklist src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A ВЫВОД -m set --match-set blacklist src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP

Если я добавлю список для сброса через «iptables -A OUTPUT -m set --match-set blacklist src -j DROP», он остановит весь трафик, поэтому мой список IP-адресов работает, но не ограничивает скорость, любой может помочь ?

вывод iptables:

вывод iptables

Выход NAT iptables:

вывод iptables nat

правила iptables


#!/бин/ш
iptables-F
sudo iptables -t nat -F
iptables -t физ -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -t сырой -F
sudo iptables -t сырой -X
sudo iptables -t безопасность -F
sudo iptables -t безопасность -X
судо iptables-F
судо iptables-X
sudo iptables -P ВВОД ПРИНЯТЬ
sudo iptables -P ПЕРЕДАТЬ ПРИНЯТЬ
sudo iptables -P ВЫВОД ПРИНЯТЬ

iptables -A ВВОД -i lo -j ПРИНЯТЬ
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate НОВЫЙ, УСТАНОВЛЕННЫЙ -j ПРИНЯТЬ
sudo iptables -A ВЫВОД -p tcp --sport 22 -m conntrack --ctstate УСТАНОВЛЕНО -j ПРИНЯТЬ

iptables -A INPUT -m set --match-set blacklist src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A FORWARD -m set --match-set blacklist src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP
iptables -A ВЫВОД -m set --match-set blacklist src -p udp --dport 30000 -m hashlimit --hashlimit 10/min --hashlimit-name ratelimithash -j DROP

iptables -t nat -A POSTOUTING -s 192.168.168.0/30 ! -o gre+ -j SNAT --к источнику 20&&&&&&&&&&&&&

iptables -A ВВОД -s 192.168.168.2/32 -j ПРИНЯТЬ

iptables -I ВВОД -m состояние --state УСТАНОВЛЕНО,СВЯЗАННО -j ПРИНЯТЬ


iptables -A ВВОД -p gre -j ПРИНЯТЬ
iptables -A ВЫВОД -p gre -j ПРИНЯТЬ

iptables -t nat -A PREROUTING -d 20&&&&&&&&&&&&& -p udp --dport 30000 -j DNAT --назначение 192.168.168.2


iptables -A ВЫВОД -j DROP
iptables -P ВХОД DROP
42
1 + 0
Рейтинг:1
Rushy avatar Server
флаг de
Rushy

Кажется, это было лучшим правилом - останавливать трафик перед переходом через туннель GRE сверх лимита.

iptables -t mangle -A PREROUTING -p udp --dport 30000 -m set --match-set blacklist src -m hashlimit --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-выше 100/сек --hashlimit -имя тест -j DROP

-hashlimit-srcmask 24 — группировать входящий трафик в группы /24

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.