linux服务器要怎样针对IP流量限制

不是木马，是设置问题，下面是流量的控制方法一、Linux流量控制过程分二种：1、队列控制即QOS,瓶颈处的发送队列的规则控制，常见的有SFQPRIO2、流量控制即带宽控制,队列的排队整形，一般为TBFHTB二、Linux流量控制算法分二种：1、无类算法用于树叶级无分支的队列，例如：SFQ2、分类算法用于多分支的队列，例如：PRIOTBFHTB三、具体实现：1.在网卡上建立以SFQ算法的限流#tcqdiscadddeveth0roothandle1:sfqSFQ参数有perturb(重新调整算法间隔)quantum基本上不需要手工调整:handle1:规定算法编号..可以不用设置由系统指定..#tcqdiscshdeveth0显示算法#tcqddeldeveth0root删除注:默认eht0支持TOS2.在网卡建立以TBF算法的限流#tcqdadddeveth1roothandle1:tbfrate256kbitburst10000latency50ms速率256kbit突发传输10k最大延迟50ms#tc-sqdshdeveth1统计#tcqddeldeveth1root删除3.在网卡建立PRIO#tcqdiscadddeveth0roothandle1:prio#此命令立即创建了类:1:1,1:2,1:3(缺省三个子类)#tcqdiscadddeveth0parent1:1handle10:sfq#tcqdiscadddeveth0parent1:2handle20:tbfrate20kbitbuffer1600limit3000注:此为TBF限速的另一写法,前文有讲解.#tcqdiscadddeveth0parent1:3handle30:sfq4.WEB服务器的流量控制为5Mbps,SMTP流量控制在3Mbps上.而且二者一共不得超过6Mbps,互相之间允许借用带宽#tcqdiscadddeveth0roothandle1:0cbqbandwidth100Mbitavpkt1000cell8#tcclassadddeveth0parent1:0classid1:1cbqbandwidth100Mbitrate6Mbitweight0.6Mbitprio8allot1514cell8maxburst20avpkt1000bounded这部分按惯例设置了根为1:0,并且绑定了类1:1.也就是说整个带宽不能超过6Mbps.#tcclassadddeveth0parent1:1classid1:3cbqbandwidth100Mbitrate5Mbitweight0.5Mbitprio5allot1514cell8maxburst20avpkt1000#tcclassadddeveth0parent1:1classid1:4cbqbandwidth100Mbitrate3Mbitweight0.3Mbitprio5allot1514cell8maxburst20avpkt1000建立了2个类.注意我们如何根据带宽来调整weight参数的.两个类都没有配置成"bounded",但它们都连接到了类1:1上,而1:1设置了"bounded".所以两个类的总带宽不会超过6Mbps.别忘了,同一个CBQ下面的子类的主号码都必须与CBQ自己的号码相一致!#tcqdiscadddeveth0parent1:3handle30:sfq#tcqdiscadddeveth0parent1:4handle40:sfq缺省情况下,两个类都有一个FIFO队列规定.但是我们把它换成SFQ队列,以保证每个数据流都公平对待.#tcfilteradddeveth0parent1:0protocolipprio1u32matchipsport800xffffflowid1:3#tcfilteradddeveth0parent1:0protocolipprio1u32matchipsport250xffffflowid1:46.过滤器过滤示例#tcfilteradddeveth0protocolipparent10:prio1u32matchipdport220xffffflowid10:1在10:节点添加一个过滤规则,优先权1:凡是去往22口(精确匹配)的IP数据包,发送到频道10:1..#tcfilteradddeveth0protocolipparent10:prio1u32matchipsport800xffffflowid10:1在10:节点添加一个过滤规则,优先权1:凡是来自80口(精确匹配)的IP数据包,发送到频道10:1..#tcfilteradddeveth0protocolipparent10:prio2flowid10:2在eth0上的10:节点添加一个过滤规则,它的优先权是2:凡是上二句未匹配的IP数据包,发送到频道10:2..#tcfilteradddeveth0parent10:0protocolipprio1u32matchipdst4.3.2.1/32flowid10:1去往4.3.2.1的包发送到频道10:1其它参数同上例#tcfilteradddeveth0parent10:0protocolipprio1u32matchipsrc1.2.3.4/32flowid10:1来自1.2.3.4的包发到频道10:1#tcfilteradddeveth0protocolipparent10:prio2flowid10:2凡上二句未匹配的包送往10:2#tcfilteradddeveth0parent10:0protocolipprio1u32matchipsrc4.3.2.1/32matchipsport800xffffflowid10:1可连续使用match,匹配来自1.2.3.4的80口的数据包

在类Unix系统中可以使用top查看系统资源、进程、内存占用等信息。查看网络状态可以使用netstat、nmap等工具。若要查看实时的网络流量，监控TCP/IP连接等，则可以使用iftop。

iftop类似于top的实时流量监控工具，可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等。

查看流量是从哪些端口发送出去的：

# iftop -P

-P 选项会在iftop 的输出结果中开启端口显示

界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的。

中间的<= =>这两个左右箭头，表示的是流量的方向。

TX：发送流量

RX：接收流量

TOTAL：总流量

Cumm：运行iftop到目前时间的总流量

peak：流量峰值

rates：分别表示过去 2s 10s 40s 的平均流量

要找到运行在该端口的进程，那么可以用netstat 或者lsof 来找到相应的进程。

使用netstat 命令来找到运行在10910这个端口上的进程：

# netstat -tunp | grep 10910

可以使用lsof 命令来找到运行在10909这个端口上的进程：

# lsof -i:10909

查看进程PID为51919的应用程序：

# ps -ef |grep 51919

本文主要解决3个问题：

第一、链路聚合的定义和作用是什么？

第二、如何配置链路聚合？

第三、链路聚合的实际应用场景有那些？

第一、链路聚合的定义和作用是什么？

答：链路聚合的定义：链路聚合，官方称聚合链接，民间又称网卡组队，具体指的是将多个网卡绑定在一起组建一个虚拟网卡，外界与虚拟网卡进行通信，虚拟网卡再将信息进行分发；

链路聚合的作用：可以实现轮询式的流量负载均衡和热备份的作用；

举个栗子：

链路聚合就好比是一个包工头，这个包工头为了多赚钱，多接订单，肯定需要找多个小弟；

这样就可以保障，万一有一个小弟感冒了，不能上班，这时有其他小弟可以顶上；

当客户需要盖房子的时候，直接找包工头就好了，不需要一个一个的去找建筑工人；

第二、如何配置链路聚合？

答：

1、配置链路聚合的命令是：

nmcli connection add type team con-name team0 ifname team0 autoconnect  yes  config  '{"runner": {"name": "activebackup"}}'

译为：nmcli connection 添加 类型 team(组队)

    配置文件名  team0  网卡名  team0  每次开机自动启用

    配置运行模式  热备份模式

整体译为：为系统网卡添加一个 team （团队），团队名称叫 team0 ，配置文件也叫 team0 ， 并且设置为开机自动启动，配置运行模式为热备份模式；

2、为链路聚合添加成员的命令是：

nmcli connection add type team-slave  con-name team0-1  ifname eth1 master team0

nmcli connection add type team-slave con-name team0-2 ifname eth2 master team0

注释：nmcli connection 添加类型为 team的成员

          配置文件名  team0-1  网卡为 eth1  主设备为  team0

整体译为：为主设备team0添加两张网卡，eth1和eth2；

3、为tem0配置ip地址的命令是：

nmcli connection modify team0 ipv4.method manual ipv4.addresses 

“IP 地址 / 子网掩码”    connection.autoconnect yes

4、激活team0的命令是：      

nmcli connection up team0

第三、链路聚合的实际应用场景有那些？

答：当服务器提供比较重要的服务时，只准备一张网卡是远远不够的，因为一但网卡出现故障，客户就无法访问，这就会造成客户流失，体验感差；

这个时候就可以运用链路聚合的方法来解决，将多张网卡绑定在一起创建一张虚拟网卡，从而实现网卡热备份，流量轮询式负载均衡；

以此来保障服务器能够正常提供服务，给用户以良好的体验；

注意事项：

在创建虚拟网卡和添加成员时，如果命令敲错了，一定要删除错误的信息，以免造成通信混乱；

删除的命令是：nmcli  connection delete team0  (team0或team x)

查看team0的信息命令是：     teamdctl   team0  state  

以上.......

（本篇完）

祝：开心！

罗贵

2019-03-24

---