Linux: limita a largura de banda de saída com base no destino / rede 24

1

Estou configurando um sistema de digitalização para uma empresa Pentest. A caixa tem muita largura de banda e eu estou preocupado que os testadores possam inadvertidamente fazer DoS os clientes. Tampando a largura de banda de saída para 10mbps parece um equilíbrio razoável entre a velocidade de teste e evitar um DoS. No entanto, vários testadores estarão trabalhando em clientes separados, então eu preciso que o limite seja 10 Mbps, não 10 Mbps.

Uma aproximação razoável a esse ideal é limitar o tráfego com base no endereço de destino / 24. Por exemplo, o tráfego para 1.2.3.4 e 1.2.3.5 seria limitado no mesmo "bloco" de 10mbps porque ambos estão em 1.2.3.0/24. Mas 2.3.4.5 estaria em um balde separado de 10 mbps.

Como posso implementar isso no Linux? Eu li alguns documentos introdutórios em tc, e parece que precisamos marcar pacotes para identificar os baldes. Eu vi alguns exemplos que têm o endereço IP codificado na configuração. No entanto, eu gostaria de fazer isso genericamente, sem ter que reconfigurar o tc toda vez que iniciarmos um novo teste.

    
por paj28 12.06.2016 / 23:33

1 resposta

0

No seu caso, tc não funcionará, porque você precisaria criar os 2 ^ 24 = 16777216 baldes antecipadamente.

Alternativas são um limite de pacotes por segundo no iptables, ou para implementar a formatação no seu software.

    
por 20.06.2016 / 15:14