iptables如何限制网络带宽使用

iptables 是 Linux 系统中用于配置内核防火墙的一个命令行工具。虽然 iptables 本身并不直接提供带宽限制的功能，但它可以与 tc（Traffic Control）工具结合使用，实现对网络带宽的限制。

以下是使用 iptables 和 tc 限制网络带宽的基本步骤：

安装必要的软件包

首先，确保你的系统上安装了 iptables 和 iproute2（包含 tc 工具）。

sudo apt-get update
sudo apt-get install iptables iproute2

创建一个 HTB（Hierarchical Token Bucket）队列

HTB 是一种流量整形算法，可以用来限制带宽。

sudo tc qdisc add dev eth0 root handle 1: htb default 30

这里，eth0 是你要限制带宽的网络接口，1: 是根队列的句柄，default 30 表示默认类为 30。

创建一个类并设置带宽限制

sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit ceil 1mbit

这里，1:1 是类的句柄，rate 1mbit 设置了保证带宽为 1 Mbps，ceil 1mbit 设置了最大带宽也为 1 Mbps。

创建一个过滤器来匹配流量并将其分配到类中

sudo tc filter add dev eth0 protocol ip parent 1: prio 1 u32 match ip dst 192.168.1.100 flowid 1:1

这里，192.168.1.100 是目标 IP 地址，flowid 1:1 表示将匹配的流量分配到类 1:1 中。

使用 iptables 标记流量

为了使 tc 能够识别和限制特定的流量，可以使用 iptables 对流量进行标记。

sudo iptables -t mangle -A POSTROUTING -p tcp --dport 80 -j MARK --set-mark 1

这里，-t mangle 表示操作 mangle 表，-A POSTROUTING 表示在 POSTROUTING 链上添加规则，-p tcp --dport 80 表示匹配目标端口为 80 的 TCP 流量，-j MARK --set-mark 1 表示将匹配的流量标记为 1。

将标记的流量与类关联

sudo tc filter add dev eth0 protocol ip parent 1: prio 1 handle 1 fw flowid 1:1

这里，handle 1 fw 表示使用标记 1 的过滤器，flowid 1:1 表示将匹配的流量分配到类 1:1 中。

验证配置

你可以使用以下命令来验证配置是否正确：

sudo tc -s qdisc ls dev eth0
sudo tc -s class ls dev eth0
sudo tc -s filter ls dev eth0

注意事项

1. 权限：执行这些命令通常需要 root 权限。
2. 持久化：这些配置在系统重启后会丢失。你可以将它们添加到启动脚本中，或者使用 iptables-persistent 和 tc 的持久化工具来保存配置。
3. 测试：在生产环境中应用这些配置之前，请先在测试环境中进行充分测试。

通过以上步骤，你可以使用 iptables 和 tc 结合来限制特定网络接口或 IP 地址的带宽使用。