關於五元組限速(openwrt+TC)的心得

原創 yuyu0602 2020-04-04 14:03

網上關於openwrt的tc限速描述有很多,目前主流用的是IMQ和ifb,其中IMQ的設置比較複雜,ifb的描述相當於簡單點,下面我簡單總結下ifb的使用,

TC的大概流程如下,具體每條命令的作用我就不做詳細介紹,大家可以百度

 tc qdisc add dev eth0 ingress
 tc filter add dev br-eth0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
 tc qdisc add dev ifb0 root handle 1: htb default 1000
 tc class add dev ifb0 parent 1: classid 1:1 htb rate 2000kbit ceil 2000kbit   #限速2M

tc class add dev ifb0 parent 1:1 classid 1:1000 htb rate 1kbit ceil 8000kbit prio 3
 tc qdisc add dev ifb0 parent 1:1000 handle 1000: sfq perturb 10

 

 tc class add dev ifb0 parent 1:1 classid 1:8 htb rate 1000kbit ceil 2000kbit prio 1
 tc qdisc add dev ifb0 parent 1:8 handle 8: sfq perturb 10
 tc filter add dev ifb0 parent 1:0 prio 1 protocol ip handle 8 fw flowid 1:8

 iptables -t mangle -A PREROUTING -p udp -j MARK --set-mark 8
 iptables -t mangle -A PREROUTING  -p udp -j RETURN

 

上述的使用的netfilter和tc相結合,通過fw,是的mark打入skb中,下面重點來了,

我發現在不同設備上,出現下面問題,百度了一下,居然老外也遇到過(be aware that if you use iptable to mark your packet and then filters them, you can't use ifb since all ingress trafic will be forwarded BEFORE any marking. so you will se your class stay at 0 and all forwarded to the default. IMQ seem the rigth solution for iptables users.)

爲了解決這個問題,查了很多資料,終於get到了,在iptables中使用connmark這個參數進行mark的標記,從而使得skb頭裏也能成功打上mark

使用netfilter的原因是因爲涉及到ipset 地址集,以及域名。

tc也提供了另外一種方法,下面方法比較簡單了,也可以涉及到多地址,但可能比較繁瑣點(至少我認爲沒有IPtables簡便)

#tc qdisc add dev imq0 root handle 1: htb default 20
#tc class add dev imq0 parent 1: classid 1:1 htb rate 2mbit burst 15k
#tc class add dev imq0 parent 1:1 classid 1:10 htb rate 1mbit
#tc class add dev imq0 parent 1:1 classid 1:20 htb rate 1mbit
#tc qdisc add dev imq0 parent 1:10 handle 10: pfifo
#tc qdisc add dev imq0 parent 1:20 handle 20: sfq
#tc filter add dev imq0 parent 10:0 protocol ip prio 1 u32 match ip dst 10.0.0.230/32 flowid 1:10

這裏其實也可以對protol協議進行限制,以及端口範圍

協議”

tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip protocol 1 0xff flowid 1:8

1 0xff是icmp 協議,這裏1 代表icmp,你可以在/etc/protocols查看每個協議具體是什麼

關於端口範圍

tc filter add dev eth2 protocol ip parent 1: prio 2 u32 match ip sport 22 0xffff flowid 1:12
0xffB2-0xffff的數值,表示從起始端口開始後多少。

開發過程中,主要是上述的一些困惑點

有興趣的可以加qq一起研究 739980123或者私信

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Openclash虛焊clash

今天的OpenClash上網總是掛球,搗鼓了大半天,包括     1、跟Clash for windows的比較分析     2、設置dns     3、重置OpenWRT並重新配置OpenClash 還是不行 最後發現,在OpenCLas

原創 2022-04-30 09:48:43

用於嵌入式計算的流行Linux發行版

在嵌入式系統中工作的嵌入式開發人員需要一個易於使用且易於爲其特定硬件定製的發行版。以下是一些最著名的嵌入式計算Linux發行版。然而,這些發行版都沒有標準化的“產品更新就緒”方法。如果這是必需的,你需要自己動手。 在嵌入式系統

Linux就該這麼學 2021-12-27 09:20:02

openwrt編譯 -- 搭建屬於自己的openwrt的開發環境

系統版本:ubuntu 16.04 LTS 64bits 零、流程化、標準化的步驟,光明的大道往前走 1、先從github clone下來 HTTPS : git clone https://git.openwrt.org/openw

osc_h9fpkpv6 2021-12-25 21:43:14

Linux 服務器配置-基礎設置

操作系統Debian12 1. 安裝 ufw 防火牆配置工具 iptables可以靈活的定義防火牆規則, 功能非常強大。但是由此產生的副作用便是配置過於複雜。ufw 命令是一個簡單的防火牆,iptables 的前端,旨在簡化防火牆的配置

原創 2024-03-02 00:49:38

如何構建 Sidecarless 模式的高性能服務網格

01 服務網格數據面的演進 以 Istio 爲代表的 Service Mesh 技術已經存在四五年的時間了,阿里雲也是第一批支持 Service Mesh 雲服務的廠商。在 Service Mesh 技術中,通過把服務治理的能力進行 Si

原創 2023-08-22 12:31:28

在linux安裝oracle 12c問題集合

#異常問題:ORA-00821: Specified value of sga_target *** is too small, needs to be at least *** 解決辦法: 1、執行  create pfile from

原創 2023-06-28 00:05:42

使用 openEuler 架設網關

環境 操作系統:openEuler 開放歐拉 22.03 LTS 適用架構:ARM64(鯤鵬 920 x8、飛騰 FT-2000/4)、AMD64(海光、兆芯)   前言 從一個局域網到另一個局域網,或者廣域網,或者互聯網,通常需要一

原創 2023-04-04 13:58:40

K8s有損發佈問題探究

問題提出 流量有損是在應用發佈時的常見問題,其現象通常會反饋到流量監控上,如下圖所示,發佈過程中服務RT突然升高,造成部分業務響應變慢,給用戶的最直觀體驗就是卡頓;或是請求的500錯誤數突增,在用戶側可能感受到服務降級或服務不可用,從而影

原創 2022-12-26 23:58:07

centos7 搭建 vsftpd

參考:https://wiki.archlinux.org/title/Very_Secure_FTP_Daemon 教程:https://help.aliyun.com/document_detail/92048.html 1、配置 vs

原創 2022-12-26 22:51:39

rsync+ftp搭建日誌共享服務

【訴求說明】 生產環境服務器權限不會給開發人員,生產的問題又需要排查,所以需要搭建一個服務把應用的日誌同步到日誌中心服務器。 用戶訪問這臺服務器拉取自己項目對應的日誌文件;適用於項目不多的場景。 環境說明: 日誌服務器:    ******

原創 2022-04-30 12:06:53

安裝greenplum數據倉庫

Installing and Upgrading Greenplum https://docs.greenplum.org/6-16/install_guide/install_guide.html CentOS 8.2 上

原創 2022-04-30 11:50:37

Apache Ignite 2.12.0版本發佈,CDC、索引查詢和漏洞修復

漏洞更新 Apache Ignite的2.11.1及之前的版本,存在CVE-2021-44832漏洞,該漏洞與ignite-log4j2模塊有關。本次更新還修復了其他模塊的十餘個CVE漏洞。 變更數據捕獲 CDC是一種數據處理模式,用於異步

原創 2022-04-30 06:21:02

利用shell祕鑰登錄服務器

------------恢復內容開始------------ 一、點擊Xshell菜單欄的工具,選擇新建用戶密鑰生成嚮導,進行密鑰對生成操作。 注意選擇長度爲2048位祕鑰; 二、修改sshd的配置文件,啓用密鑰認證登錄,同時關閉密碼

osc_vv34ugrq 2021-12-25 21:40:34

騰訊雲安裝kubernetes(ubuntu20.4)

1、安裝docker sudo apt install docker.io 2、修改 cgroupdriver to systemd sudo vi /etc/docker/daemon.json 添加以下內容: { "exe

原創 2021-12-25 21:39:29

【Linux簡單實用小命令001】CentOS 7/8 防火牆指定端口開放

點擊上方藍色字,姚毛毛的博客 ,關注並星標哦 每週二、四,都會有一篇新鮮出爐的文章等候着你 1. 前言 今天小夥伴在羣裏問服務器上服務啓動了,怎麼本地訪問不了。 我直接打開了我本機(windows)上的cmd工具,telnet了一下,

原創 2021-12-25 21:39:22