使用tc作为交通配额？

Question

是否有可能基于网络分类器组实现交通配额(绝对限制，而不是费率限制)？

我看到了iptables网络过滤器“配额”扩展，它似乎是在做我想做的事情:在给定的接口和方向上，允许流量达到给定的配额，然后下降--或者做一些其他的事情。但是，由于我只想将此配额应用于给定的cgroup，因此必须使用net_cls模块来标识通信量。

我知道我可以根据分类使用Linux流量控制(tc)设定一个利率限制。如果我有合适的分类器，我也可以减少流量。我似乎找不到的是tc的绝对计数器，或者iptables基于分类筛选的方法。

Answer 1

您可以根据分类使用iptable进行筛选。在您提供的net_cls模块链接中有一个示例。

echo 0x100001 >  /sys/fs/cgroup/net_cls/0/net_cls.classid
iptables -A OUTPUT -m cgroup ! --cgroup 0x100001 -j DROP

当然，您可以更改示例，使iptable跳转到另一个具有更复杂规则的链中。也许：

echo 0x100001 >  /sys/fs/cgroup/net_cls/0/net_cls.classid
iptables -N QUOTA
iptables -A QUOTA -m quota --quota 52428800 -j ACCEPT
iptables -A QUOTA -j DROP
iptables -A OUTPUT -m cgroup --cgroup 0x100001 -j QUOTA