[问题求助]iptables 速度限制问题 [复制链接]

Dear all,
        为了保证服务器最少的DOWN机.，我想限制TC.P，UDP，ICMP的速度为3/s，规则如下：           鲜花
i.ptables -A FORWARD -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit. 3/s --limit-.burst 3 -j ACCEPT--------------彩票
iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -m limit --li.mit. 3/s --limit-burst 3. -j ACCEPT.
在此之后.再定义我的HTTP、FTP等规则。--- 印刷

但如果这样，则所有的包都可以不过我.的下面.HTTP与FTP规则就过去了。.
我.这边又想每加一条规则都再增加 -m limi.t选项。           建材

请问，如何才能实现.，前面作了整体速.度限制，但不会直接通过或DROP，而是在后面再检查包的情况再确定其是否可能通过。(广告)

谢谢大家!

QUOTE:原帖由 "jtzhao" 发表：

主要是为了防最基本的SYN攻击等

不要考虑了，如果不对 TCP/IP 进行编程、不拆包、不监测三次握手的话，一切都是徒劳的，充其量是机器的 CPU 没有耗尽，但是已经达到“拒绝服务”的目的了

tc限制流量比较好，但只用IPTABLES作一个大致的限定，主要是为了防最基本的SYN攻击等，还没有往真实的流量控制上去考虑。
我想这样实现：
将所有limit的设置，作为最基础的设置，分别对INPUT与FORWARD的流量进行LIMIT设置，将其操作转向user_input，user_forward链。
然后，所有的ACCEPT和DROP规则再在自定义的两个链中完成。
大家觉得如何？

BTW，能推荐一两个比较好的攻击工具吗？测试一下。
谢谢!

斑竹说的对,用tc来实现QoS是个很好的选择,学学吧,在google上搜"lartc",
Linux的高级路由和流量控制HOWTO

那就控制 filter 表的 OUTPUT 链
或者你用 tc 更好

^--^
3/s只是举例而已。
实际的速度肯定要看使用情况调整。

如果一台专门做限速，一台专门做服务就很容易实现了，要过两次规则。
但在一台上，既要限速，又要保证速度之下的规则，就不知如何弄了。

QUOTE:原帖由 "jtzhao" 发表：

为了保证服务器最少的DOWN机，我想限制TCP，UDP，ICMP的速度为3/s，规则如下：

不看你怎么做的，只凭你这一句话我想告诉你
你还不如把网线拔了算了