나는무선 라우터wlan0
인터페이스(무선 인터페이스)는 어디에 있습니까?브리지된이더넷 인터페이스 사용 eth0
(DHCP 역할을 하는 다른 서버에 연결)
/ # brctl show br0
bridge name bridge id STP enabled interfaces
br0 8000.bce67c4d8fb0 no eth0
wlan0
Linux 커널 버전: 4.4.60 nftables 버전: v0.9.6
ipv6 트래픽을 제한하기 위해 ip6 제품군에 규칙을 설정하려고 합니다. 내 규칙은 다음과 같습니다.
/ # nft list chain ip6 ngadre_rate_limiting ngadre_counter
table ip6 ngadre_rate_limiting {
chain ngadre_counter {
type filter hook prerouting priority raw; policy accept;
limit rate 625 kbytes/second counter packets 1945 bytes 609744 accept
counter packets 0 bytes 0 drop
}
}
규칙을 실행하면 sudo ping6 2006:db8:0:f101::10 -i 0.1
카운터가 증가합니다. 하지만 를 실행하면 iperf3 -V -c 2006:db8:0:f101::10 -p5678 -i1 -tinf
적중 횟수가 증가하지 않고 트래픽 속도가 제한되지 않는다는 규칙이 있습니다.
다음 규칙을 적용했습니다.위키피디아:
nft add rule filter input limit rate 10 mbytes/second accept
IP6 규칙에 뭔가 빠졌나요?
업데이트 1: 이것을 시도 limit rate 2/second
하고 빠르게 시도했습니다 ping6 -i 0.1
. 여기서 규칙은 적중 및 드롭 카운터가 증가하고 ping6의 속도가 초당 2 패킷으로 제한된다는 것입니다. 이는 다음을 의미합니다.ICMPV6별 문제 없을 것 같은데 limit rate
막상 해보면iperf3, 이 규칙은 누락 및 삭제 카운터를 증가시키지도 않습니다.
답변1
우리 조직의 내부 도움을 받은 후 공개 포럼에서 공유할 수 없는 패킷 표시에 대한 특정 규칙이 다른 곳에 추가되었습니다. 이를 기반으로 패킷은 속도 제한 규칙을 건너뜁니다. 적절한 태그를 설정하여 이 문제를 해결했습니다.