Как ограничить скорость для подключения к серверу?

Question

[Drno]

Доброго дня. Имеется приложение висящее на определенном порту на сервере. Из-за специфики приложения оно должно обязательно смотреть "само" в нужный внешний порт (через reverse proxy оно не работает)
К приложению имеют доступ множество клиентов, и иногда они могут забивать целиком весь канал инета, если их провайдер достаточно быстрый))

Вопрос - как можно ограничить скорость для входящих подключений на определенный порт? я так понимаю что это можно сделать с помощью Iptables, но моих знаний не хватает для написания правил.
Я предполагаю что надо как то промаркировать входящее соединение, а потом его уже обработать?

Подскажите, куда смотреть \ копать. может какой то пример есть ?

Comments

[Vladislav]

Наверняка есть минимальные требования по скорости для этого приложения, а значит зная ширину канала можно посчитать примерное количество одновременных подключений. Если на всех поделить - будет работать?

[Drno]

Vladislav, там есть момент со скачиванием файлов. и в этот момент идет большой скачок трафика.
вот поэтому и хочу ограничить скорость для каждого подключившегося клиента \ IP

но пока никак не нагуглю как это реализовать )

[Vladislav]

Drno, сложно без понимания архитектуры приложения. А все одновременно качают? Скачивание по запросу или как обновление? Трафик растёт зато количество подключений не растёт, а если скорость порезать - будет расти и серверу уже может не хватить памяти, например. Напрашивается механизм очереди либо отделение "файлового сервера" в другую инфраструктуру, в облаке, чтобы трафик при скачивание был отделён.

[Drno]

Vladislav, сервак используется как промежуточный. поэтому надо именно ограничить скорость для каждого отдельного подключения.
представь что у тебя приходит запрос на порт 8080, дальше он NATится.
вот скорость входящих\исходящих запросов на порт 8080 и надо ограничить

Answer 1

[Алексей Черемисин]

Ну.... iptables конечно же хороши.... были...
В современных дистрибудивах обычно везде nftables, их и порекомендую
Ну и как отшейпить - https://wiki.nftables.org/wiki-nftables/index.php/...

Comments

[Drno]

не работает Ваш вариант. он позволяет ограничить одновременную скорость до порта, но не на каждый коннект по отдельности (

[Алексей Черемисин]

Drno, Читайте про conntrack. Вам нужны established connections, а уже каждую нужно шейпить.

Answer 2

[Руслан Федосеев]

ддос защита так не реализуется )
от tcp атаки вы еще закроетесь, если отбросите часть new пакетов
А вот от udp - никак

Comments

[Drno]

мне ненадо закрываться от ddos ) мне надо более менее распределить трафик между юзерами, которые подключаются)
потому что софт этого делать не умеет

Answer 3

[Zerg89]

Динамический шейпер на линукс
А для порта завернуть через петлю и на ней шепить

Comments

[Drno]

тоесть мы делаем редирект с помощью iptables на какой то фейковый интерфейс, и на нём уже шейпим?
для каждого подключения на свой интерфейс? или всех на 1 интерфейс?

как тогда выглядит цепочка в iptables?
типо порт 8080 редиректим на такой то IP (фейковый интерфейс)
далее с фейкового интерфейса редиректим уже на само приложение?

[Zerg89]

Drno, один интерфейс на него заворачиваем трафик к порту, а редирект до приложения лишний пусть этот интерфейс слушает

[Drno]

Zerg89, не понимаю немного Вашу логику. можете пример дать Iptables ?

[Zerg89]

Drno,
iptables -t nat -A PREROUTING -p tcp -d X.X.X.X --dport 8080 -j DNAT --to Y.Y.Y.Y:8080

В конфиге программы listen Y.Y.Y.Y:8080

[Drno]

Zerg89, Это понятно. не понятно как щашейпить трафик, потому что он упорно не хочет ограничивать скорость)

[Zerg89]

Drno, а статью по ссылке читал?