请教各位老哥使用iptables进行目的地IP限速的问题

foxwho

因目前“你们都懂的”做了分流，即墙内和墙外，现希望对属于CN即墙内的IPV4不限速，而对目的地IP为墙外的都做限速，
希望各位老哥能帮帮忙看看应该如何使用iptables或者tc结合实现，我对于这两工具都非常不熟，还望老哥们能指点指点，谢谢大家

q741451

用tc命令。

foxwho

q741451 发表于 2020-11-13 13:02
用tc命令。

请问可以给出命令的示例吗？
比如我把境外的ipv4定为为一个叫 foreign_ipv4的 ipset集合，使用tc命令的话是怎样写的？ 谢谢

foxwho

顶一下~~~~希望有坛友能帮忙指点一下

wulishui

ipset、iptables 打mark在lean的**R已经做好了，直接使用他的mark就行，一旦你重新打mark，就和他的冲突，你要做的只是tc和tc filter，eqos是最简单的tc实例，改一下它的mark匹配值就ok。

foxwho

wulishui 发表于 2020-11-14 10:05
ipset、iptables 打mark在lean的**R已经做好了，直接使用他的mark就行，一旦你重新打mark，就和他的冲突， ...

我没有用到LEAN的固件，用的是官方OP固件。
希望这位老哥能分享一下命令的实例，谢谢~~

foxwho

我自问自答一下吧
使用tc和iptables的限速命令，如果对于对象是非常多的规则的时候，执行的效率会极低，会极大地影响转发性能。
因此我使用了nftables来进行限速，用它来执行限速命令的话，从我测试的实际情况（ip目的地址21万条）来分析，没有观察到有影响转发性能的现象

例子：
创建一份shell脚本，内容如下：

#!/usr/sbin/nft -f

flush ruleset

table inet nft-limit-speed {

        chain Oversea_ipv4_download {
                type filter hook postrouting priority 32; policy accept;
                ip daddr 192.168.50.24 ip saddr @Oversea_ipv4 limit rate over 100 kbytes/second drop
                ip daddr 192.168.50.36 ip saddr @Oversea_ipv4 limit rate over 100 kbytes/second drop
        }

        chain Oversea_ipv4_upload {
                type filter hook prerouting priority 32; policy accept;
                ip daddr @Oversea_ipv4 ip saddr 192.168.50.24 limit rate over 100 kbytes/second drop
                ip daddr @Oversea_ipv4 ip saddr 192.168.50.36 limit rate over 100 kbytes/second drop
        }

        set Oversea_ipv4 {
                type ipv4_addr
                flags interval
                elements = {
46.172.224.0/19,
80.80.84.0/22,
80.80.92.0/22,
85.94.160.0/19,
89.150.2.0/23,
89.150.4.0/22,
89.150.8.0/21,
91.187.64.0/19,
109.111.96.0/19,
185.4.52.0/22,
185.33.0.0/22,
185.87.36.0/22,
185.87.40.0/22,
185.87.44.0/22,
...省略21万条目的地IPv4地址...
                }
        }
}