Linux如何限制网卡流量？ (linux限制网卡)

在网络应用中，流量控制是一项非常重要的技术。通过限制网络中的流量，可以保证网络安全、提升网络性能，并且避免网络拥塞问题。在Linux系统中，我们可以使用一些工具和方法来限制网络流量。下面介绍一些最常见的方法。

方法一：使用iptables限制网卡流量

iptables是Linux中最常用的防火墙软件之一，它可以通过网络控制来限制网卡流量。接下来将介绍一些使用iptables限制网卡流量的方法。

1. 限制出站流量

要限制某个接口的出站流量，首先需要查找该接口的名称，可以使用ifconfig命令来查找，如下所示：

$ ifconfig

eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55

inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:1000 errors:0 dropped:0 overruns:0 frame:0

TX packets:1000 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:100000 (100.0 KiB) TX bytes:100000 (100.0 KiB)

要限制该接口的出站流量，可以使用下面的iptables命令：

$ iptables -A OUTPUT -o eth0 -m limit –limit 10/s –limit-burst 20 -j ACCEPT

参数说明：

-A：添加一条规则

OUTPUT：限制流量出站

-o：限制出站接口为eth0

limit：限制速率

–limit 10/s：限制每秒传输的数据包数为10

–limit-burst 20：允许在超时前发送的更大数据包数为20

-j：指定动作为接受

ACCEPT：允许符合规则的数据包通过

2. 限制入站流量

要限制某个接口的入站流量，可以使用以下iptables命令：

$ iptables -A INPUT -i eth0 -m limit –limit 10/s –limit-burst 20 -j ACCEPT

参数说明：

-A：添加一条规则

INPUT：限制流量入站

-i：限制入站接口为eth0

limit：限制速率

–limit 10/s：限制每秒传输的数据包数为10

–limit-burst 20：允许在超时前发送的更大数据包数为20

-j：指定动作为接受

ACCEPT：允许符合规则的数据包通过

3. 删除限制规则

如果要删除某个已经添加的限制规则，可以使用以下命令：

$ iptables -D OUTPUT 1

参数说明：

-D：删除一条规则

OUTPUT：删除限制流量出站的规则

1：删除规则序号为1的规则

方法二：使用tc限制网卡流量

tc是Linux系统中的一个工具，它可以用来管理网络流量和流速，实现对网络带宽进行调节和限制。下面介绍一些使用tc限制网卡流量的方法。

1. 查看接口

使用ifconfig命令可以查看网络接口的信息，如下所示：

$ ifconfig

eth0 Link encap:Ethernet HWaddr 00:11:22:33:44:55

inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:1000 errors:0 dropped:0 overruns:0 frame:0

TX packets:1000 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:100000 (100.0 KiB) TX bytes:100000 (100.0 KiB)

2. 限制出站流量

要限制某个接口的出站流量，可以使用下面的tc命令：

$ tc qdisc add dev eth0 root handle 1: htb default 11

$ tc class add dev eth0 parent 1: classid 1:1 htb rate 1024kbps ceil 1024kbps

$ tc class add dev eth0 parent 1:1 classid 1:11 htb rate 512kbps ceil 1024kbps

参数说明：

qdisc：队列规则

add：添加规则

dev：网络接口名称

root：根节点

handle：句柄

1：句柄名称

htb：层次化令牌桶

default：默认句柄

11：句柄编号

class：分类规则

parent：父节点

classid：类别句柄

rate：限速

ceil：峰值速率

3. 限制入站流量

要限制某个接口的入站流量，可以使用以下tc命令：

$ tc qdisc add dev eth0 ingress

$ tc filter add dev eth0 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate 1mbit ceil 1mbit burst 32k drop flowid :1

参数说明：

qdisc：队列规则

add：添加规则

dev：网络接口名称

ingress：入站流量限制

filter：限制规则

parent：父节点

ffff：限制所有网络流量

protocol：限制IP协议

prio：优先级

u32：过滤器类型

match：过滤器匹配条件

src：源IP地址

police：限速

rate：速率

ceil：峰值速率

burst：突发缓冲区大小

drop：丢弃

flowid：流ID

4. 删除限制规则

如果要删除某个已经添加的限制规则，可以使用以下命令：

$ tc qdisc del dev eth0 root

$ tc qdisc del dev eth0 ingress

参数说明：

del：删除规则

eth0：网络接口名称

root：根节点

ingress：入站流量限制

通过上述方法，我们可以将网卡的流量限制控制在一定的范围内，从而达到保护网络安全、提升网络性能等目的。当然，根据网络需要，可以用不同的命令进行调整，以达到更佳的流量控制效果。

相关问题拓展阅读：

关于Linux网卡带宽设置的问题
linux禁用网口收发报文,网卡ip还在

关于Linux网卡带宽设置的问题

首先你得netem QDiscipline设置看起来没什么区别，limit太大，loss 0%和默认一样，剩下的delay 10ms都是指所有pakcat按照延迟10ms进行发送

至于你的TBF设置，用了TBF自身提供的两个途径

TBF叫做Token Bucket Filter.总体的思路就是数据包要领到Token（令牌）才能被发送，而令牌的产生速率收到rate这个参数的限制。Token是一个抽象的概念，Token的大小都是指的Token所指向的数据包的大小。

当要发送的速率低于令牌产生的速度时，所有的数据包都能领到Token，并且多余的Token会在你的Buffer里积累。积累的上限由Buffer/Burst这个参数指定。

当发送的速率等于Token产生的速度时，Token正好被完全消耗，所有雹颤的数据包都会发送，并且buffer不会积累多余的Token

当发送的速率大于Token的速率，如果Buffer里还有多余的Token，就会开始消耗Buffer的Token，同时允许数据包通过。如果buffer的Token耗尽，数据包就不被允许通过，并且进入Txqueue（发送队列）排队。如果排队的尺寸大于limit（你的之一个TBF有指定），则队列不能再增长，新到来的数据包会被drop。

明白上面的镇好概念之后你的两条命令的区别也就容易看懂了。

之一个是用的Buffer/Limit

Buffer就是瞬间可以额外提供的Token的数量。Rate限制了你的持续上传速率为1Mb/s,然后在你长时间网络流量很低时，你得Token会积累，最后你可以有Buffer这么大（1600b）的缓冲无视rate的限制（可以瞬间发送1600b，所以叫做突发）。至于后面的limit 3000，是指你当你的缓冲区（Txqueue）超过3000b时，新来的包会被Drop

第二个用的是御肆铅Burst/latency/rate组合

这里的burst和上面的buffer含义完全相同，都是能够以高于rate所限定的速度发送的数据量（4Mb，比之一个的大很多）。至于Latency，是对应limit的量。Latency规定的是数据包能在Txqueue中呆的最长的时间（你的是1S），在Txqueue中呆超过1s的包都会被Drop。所以结合你的rate来计算，latency 1s+rate 1Mbit/s 等价于 limit为1Mbit*1s=1Mb

*tc只能规整egress traffic，就是从NIC流出的流量（上传），对于下载，要用IFB将ingress（下载）模拟成egress