O que se segue é apenas uma ideia, já que sou novo na modelagem de tráfego. NÃO é um script completo ou de trabalho e está faltando a parte tc
ou algo parecido, e muitas outras necessidades ... é apresentado apenas como uma curiosidade, não tenho tempo para terminar agora ...
cron o script para ser executado a cada minuto
cron * * * * * sh /path/to/bitshaper.sh /path/to/whitelist /path/to/blacklist
bitshaper.sh
#!/bin/sh
## limit 1MB
limit=1000000
## ip addresses that are unrestricted
WHITELIST='cat "$1"'
## ip addresses that are throttled immediately
BLACKLIST='cat "$2"'
## chain...when routing it'll be FORWARD, otherwise use INPUT for playing
CHAIN='INPUT'
## working directory
WD=/var/tmp/bitshaper
mkdir "$WD" 2> /dev/null && cd "$WD"
## create unique CHAIN name so we can easily identify with iptables -L
## rules for monitoring bytes now should have a target of -j $RULE_ID
RULE_ID='BITSHAPER'
iptables -N $RULE_ID 2> /dev/null
## get byte count stats
STATS='iptables -L "$CHAIN" -vn | tail -n +3'
## get dhcpd leases
HOSTS='grep -E '^lease ' /var/lib/dhcp/dhcpd.leases | tr -d '[a-z {]' | sort -u'
for host in $HOSTS; do
case $WHITELIST in *$host*) continue;; esac
success=false
for stat in "$STATS"; do
## $RULE_ID has to be specific enough to not match anything else
case $stat in *${RULE_ID}*${host}*)
success=true
tmp=${stat#*[0-9] }
bytes=${tmp%% *}
[ $bytes -gt $limit ] && {
# use tc to shape traffic
}
break
;;
esac
done
if [ $success = 'false' ]; then
## have host but no firewall rule, add one to track usage
iptables -t filter -A $CHAIN -s $host -j $RULE_ID
fi
done
## blacklist host here or somewhere