linux tc filter

tc filter 是 Linux 流量控制（Traffic Control, TC）工具中的一部分，用于在网络接口上对数据包进行过滤和分类。它是 Linux 内核中实现流量整形（Traffic Shaping）和队列管理（Queue Management）的关键组件。

基础概念

tc 命令允许系统管理员对网络流量进行控制，包括延迟、丢弃、优先级排序等。tc filter 是 tc 工具中的一个子命令，用于定义如何处理经过特定网络接口的数据包。

相关优势

• 流量整形：可以平滑网络流量，避免网络拥塞。
• 优先级排序：可以为不同类型的数据包设置不同的优先级，确保关键任务的顺畅运行。
• 带宽限制：可以对特定的数据流或应用进行带宽限制。
• 数据包过滤：可以根据数据包的头部信息（如源地址、目的地址、端口号等）进行过滤。

类型

tc filter 支持多种类型的过滤器，包括但不限于：

• u32：基于 32 位无符号整数的过滤，可以匹配数据包头部的任意字段。
• fw：基于防火墙规则的过滤，类似于 iptables。
• fl：基于流的过滤，可以匹配特定的数据流。
• htb：基于分层令牌桶的过滤，用于实现带宽分配。

应用场景

• 网络质量保证：为VoIP或视频会议等实时应用提供优先级。
• 带宽管理：限制某些应用的带宽使用，确保其他关键业务的网络性能。
• 安全控制：阻止特定类型的流量，如DDoS攻击或恶意软件通信。

遇到的问题及解决方法

问题：如何设置一个基于源IP地址的过滤器，限制特定IP的带宽？

解决方法：

1. 首先，创建一个类来限制带宽，例如限制到 1Mbps：

tc qdisc add dev eth0 root handle 1: htb default 11
tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit

1. 然后，添加一个过滤器来匹配源IP地址，并将其指向上面创建的类：

tc filter add dev eth0 protocol ip parent 1: prio 1 u32 match ip src 192.168.1.100 flowid 1:1

在这个例子中，eth0 是网络接口的名称，192.168.1.100 是要限制的源IP地址。

问题：如果发现设置的过滤器没有生效，可能的原因是什么？

可能的原因及解决方法：

• 规则顺序：如果有多个过滤器，它们的顺序可能会影响匹配结果。确保更具体的规则放在前面。
• 规则冲突：可能存在其他规则与当前规则冲突，检查是否有其他 tc filter 规则影响了流量。
• 接口名称错误：确保使用的是正确的网络接口名称。
• 内核支持：确保 Linux 内核支持 tc 功能，并且相关模块已经加载。
• 语法错误：检查 tc 命令的语法是否正确。

示例代码

以下是一个完整的示例，展示如何使用 tc filter 来限制特定IP的带宽：

# 创建根队列规则
tc qdisc add dev eth0 root handle 1: htb default 11

# 创建一个类，限制带宽为1Mbps
tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit

# 添加过滤器，匹配源IP地址，并将其指向上面创建的类
tc filter add dev eth0 protocol ip parent 1: prio 1 u32 match ip src 192.168.1.100 flowid 1:1

要删除这个规则，可以使用以下命令：

tc filter del dev eth0 protocol ip parent 1: prio 1 u32 match ip src 192.168.1.100

请注意，tc 命令的使用需要 root 权限。在实际部署时，应该谨慎操作，以免影响网络的正常运行。