Entendiendo iptables hashlimit

De Jose Castillo Aliaga
Ir a la navegación Ir a la búsqueda

Antes de empezar, voy a suponer un caso real sobre el que voy a explicar las alternativas: Tenemos un aula con unos 25 pcs y algunos móviles conectados por Wifi. Todos pasan por un Ubuntu server que hace de router. La conexión al exterior es relativamente buena, pero si algunos alumnos usan mucho el youtube o otros servicios de streaming, comienza a ir lento. Nos proponemos limitar el ancho de banda de la forma más respetuosa posible y sin dañar a los que quieren trabajar.

Cuando nos proponemos limitar el ancho de banda o las conexiones a o desde Internet, hay algunas opciones a tener en cuenta. De forma general, todo el mundo te recomienda leer el lartc y tienen razón. Es bastante complicado hacerlo bien y algunos han hecho herramientas como Wondershaper. Esta ha quedado obsoleta ([1]) y no funciona correctamente.

La aproximación de este manual va por otro lado, por las IPtables.

Iptables tiene una extensión llamada hashlimit. Esta es parecida a otra llamada limit. La diferencia es que hashlimit directamente puede trabajar con múltiples IPs de origen y de destino y limit es para toda la tarjeta de red.

El funcionamiento es el siguiente:

  1. Hashlimit registra cada conexión entre ips de origen y de destino.
  2. Si esta supera el límite de conexiones por segundo o de velocidad, ejecuta la regla. (Posiblemente DROP)
  3. Cuando pasa un tiempo, permite de nuevo conectar, pero si se supera la velocidad, vuelve a cortar.

Aquí hay un problema: Muchas conexiones pueden ir muy rápido pero no ser muy pesadas. Podríamos estar cortando conexiones sin parar sólo por la velocidad de la red o del servidor remoto.

Para solucionar este problema, hashlimit cuenta con la opció --hashlimit-burst que permite una conexión rápida durante una cantidad máxima de datos.

Ejemplos con paquetes

Ejemplos con velocidad

Anem a analitzar aquesta regla: 

# iptables -A FORWARD -m hashlimit --hashlimit-above 3000kb/s --hashlimit-burst 5mb --hashlimit-mode srcip,dstip --hashlimit-name bwlimit -j DROP

Aquest permet un límit de 3000kb/s. les connexions que superen aquesta velocitat seran expulsades amb DROP. Però tenim un marge de 5mb per descarregar.

Enlaces

http://poorlydocumented.com/2017/08/understanding-iptables-hashlimit-module/

http://tlfabian.blogspot.com.es/2014/06/how-does-iptables-hashlimit-module-work.html

Obtenido de «https://castilloinformatica.es/wiki/index.php?title=Entendiendo_iptables_hashlimit&oldid=3379»