如何使用 iptables 或 tc 来限制每个客户端的数据包。

我已经使用 TC 和 iptables hashlimit 的组合来做到这一点。我在 LAN 接口（以下载流量为目标）上创建了一个 TC 出站带宽限制器，设置为 5 Mbits/秒。然后我在接口的输出 mangle 链中使用 iptables hashlimit 模块，这样如果数据包速率超过某个阈值，在任何两个不同的源 IP 地址和目标 IP 地址之间，它开始将这些数据包分类到 TC 5 Mbit/s 流量整形类.

但是，您必须正确设置数据包阈值，并且我基于我的 MTU 为 1500 字节这一事实，因此使用它来计算每秒有多少数据包将创建一个每秒 1.5 Mbits 的阈值（1000 个数据包/秒）。再加上在 hashlimit iptables 模块上设置可能的最高突发值（在我的设置中，这似乎是 10,000），所有这一切的结果是短时间下载以全速运行，但较长时间的下载开始变慢，因为一些数据包进入了 TC 带宽限制类，这显然会降低数据包速率等。这有点像 hack，但令人惊讶的是它确实有效，而且效果很好。并且因为使用了 TC，所以不会丢弃任何数据包 - 一旦达到数据包速率，就会因为被推入 TC 类而简单地延迟和减速。

这是在 CentOS 6 机器上。我认为更现代的东西允许 hashlimit 模块支持每秒字节数，而不仅仅是每秒数据包，这甚至更好，但我在我的设置中尝试了这个，它只是恢复为每秒使用数据包。

我刚刚在手机上，所以无法粘贴任何配置，但是如果您想要一些示例，请告诉我，我将编辑此答案。我真的很喜欢这个解决方案，因为我所追求的限制是基于源 IP 和目标 IP。因此系统将每个不同的 src+dst IP 组合视为自己的数据包流进行限制。hashlimit 模块也支持源端口和目标端口（基本上是源 IP、源端口、目标 IP、目标端口的任意组合），因此您甚至可以在源 IP+端口和目标 IP+端口之间基于每个会话进行限制.

更新

因此，以下是您的大致操作方式；将需要进行实验。

tc：

/sbin/tc qdisc add dev eth0 root handle 1: htb
/sbin/tc class add dev eth0 parent 1: classid 1:1 htb rate 5Mbit

iptables：

#!/bin/bash

[[ "$1" =~ ^[ADI]$ ]] || exit 1

for IPT in /sbin/ip{,6}tables
do
  $IPT -t mangle -$1 POSTROUTING -o eth0 -m hashlimit --hashlimit-above 1000/second --hashlimit-burst 10000 --hashlimit-mode srcip,dstip --hashlimit-name limiter -j CLASSIFY --set-class 1:1
done

你可以用简单的方法解决这个问题，尝试使用带iptables的recent模块，最近跟踪源地址：

iptables -m recent -h
recent match options:
[!] --set                       Add source address to list, always matches.
[!] --rcheck                    Match if source address in list.
[!] --update                    Match if source address in list, also update last-seen time.
[!] --remove                    Match if source address in list, also removes that address from list.
    --seconds seconds           For check and update commands above.
                                Specifies that the match will only occur if source address last seen within
                                the last 'seconds' seconds.
    --reap                      Purge entries older then 'seconds'.
                                Can only be used in conjunction with the seconds option.
    --hitcount hits             For check and update commands above.
                                Specifies that the match will only occur if source address seen hits times.
                                May be used in conjunction with the seconds option.
    --rttl                      For check and update commands above.
                                Specifies that the match will only occur if the source address and the TTL
                                match between this packet and the one which was set.
                                Useful if you have problems with people spoofing their source address in order
                                to DoS you via this module.
    --name name                 Name of the recent list to be used.  DEFAULT used if none given.
    --rsource                   Match/Save the source address of each packet in the recent list table (default).
    --rdest                     Match/Save the destination address of each packet in the recent list table.
    --mask netmask              Netmask that will be applied to this recent list.

阻止 ssh 暴力破解的示例：

iptables -A INPUT -i eth0 -p tcp --syn --dport 22 -m recent --name ssh --set
iptables -A INPUT -i eth0 -p tcp --syn --dport 22 -m recent --name ssh --rcheck --seconds  30 --hitcount 2 -j DROP

您也许可以使用 connlimit 模块解决此问题：

http://www.cyberciti.biz/faq/iptables-connection-limits-howto/