iptables 有没有什么办法限制一下UDP协议

ahlai

在日常工作中，我们常常通过单ip限速，限链接数来限制客户端
可是有很多软件即用tcp协议又用udp协议，
只限了tcp的链接数效果不是很明显，
比如我的局域中有个客户端，
只要他一用迅雷，
ping值马上就到1000去了
登录到防火墙一看他发起的udp链接有800多，
我限制的每ip tcp链接数为50
有没有什么好的办法解决这个问题，
因为限速不起效，
限链接也不起效，
所以我实在想不出好的办法，
请教大家

Yuri

干脆把udp给drop掉得了.

roamingo

或者试试用tc限制单IP总流量。

ahlai

把udp drop 后好多东西都不能用了，
毕竟有很多网络软件都需要udp协议，
比如网络电视，网络游戏等

晨想

公司里还弄允许网络电视和网络游戏？：）。

iptables -A FORWARD -p udp -m limit --limit 1/minute -i eth1 -j DROP

类似这样的句子，可以不？

faint

用iptables效果不行吧,试试结合l7中的xunlei。
用tc吧，最大只给用迅雷者30K，看它还能用迅雷。

faint

Post by ahlai
把udp drop 后好多东西都不能用了，
毕竟有很多网络软件都需要udp协议，
比如网络电视，网络游戏等

网络电视也很消耗带宽的啊。。

晨想

Post by faint
用iptables效果不行吧,试试结合l7中的xunlei。
用tc吧，最大只给用迅雷者30K，看它还能用迅雷。

帅哥，久仰大名了， 给一个 l7 的例子吧，userspace 的那个版本我不会用；（。

ahlai

我现在担心的不是带宽，
我是担心并发链接数太多导致带宽没有用完，可是ping值非常大，
丢包率非常高，
因为我这是adsl接入，
大家都知道adsl能承受的并发链接数是很有限的，

faint

Post by 晨想
帅哥，久仰大名了， 给一个 l7 的例子吧，userspace 的那个版本我不会用；（。

用connlimit限制每个ip的tcp连接数，然后FORWARD上是把xunlei给DROP掉啊，另外对迅雷常用的一些端口比如3076:3078 5200 6200 tcp 和 udp都给过滤掉。哈哈，然后如果发现在网络使用高峰时用迅雷者用tc限制30k。。。。。最后，技术实现不了就用行政了，哈哈。