nftables는 브리지 및 IP6 제품군의 속도 제한 규칙에서 IPv6 트래픽을 제한하지 않습니다.

nftables는 브리지 및 IP6 제품군의 속도 제한 규칙에서 IPv6 트래픽을 제한하지 않습니다.

나는무선 라우터wlan0인터페이스(무선 인터페이스)는 어디에 있습니까?브리지된이더넷 인터페이스 사용 eth0(DHCP 역할을 하는 다른 서버에 연결)

/ # brctl show br0
bridge name     bridge id               STP enabled     interfaces
br0             8000.bce67c4d8fb0       no              eth0
                                                        
                                                        
                                                        wlan0

Linux 커널 버전: 4.4.60 nftables 버전: v0.9.6

ipv6 트래픽을 제한하기 위해 ip6 제품군에 규칙을 설정하려고 합니다. 내 규칙은 다음과 같습니다.

/ # nft list chain ip6 ngadre_rate_limiting ngadre_counter
table ip6 ngadre_rate_limiting {
        chain ngadre_counter {
                type filter hook prerouting priority raw; policy accept;
                limit rate 625 kbytes/second counter packets 1945 bytes 609744 accept
                counter packets 0 bytes 0 drop
        }
}

규칙을 실행하면 sudo ping6 2006:db8:0:f101::10 -i 0.1카운터가 증가합니다. 하지만 를 실행하면 iperf3 -V -c 2006:db8:0:f101::10 -p5678 -i1 -tinf적중 횟수가 증가하지 않고 트래픽 속도가 제한되지 않는다는 규칙이 있습니다.

다음 규칙을 적용했습니다.위키피디아:

nft add rule filter input limit rate 10 mbytes/second accept

IP6 규칙에 뭔가 빠졌나요?

업데이트 1: 이것을 시도 limit rate 2/second하고 빠르게 시도했습니다 ping6 -i 0.1. 여기서 규칙은 적중 및 드롭 카운터가 증가하고 ping6의 속도가 초당 2 패킷으로 제한된다는 것입니다. 이는 다음을 의미합니다.ICMPV6별 문제 없을 것 같은데 limit rate막상 해보면iperf3, 이 규칙은 누락 및 삭제 카운터를 증가시키지도 않습니다.

答え1

우리 조직의 내부 도움을 받은 후 공개 포럼에서 공유할 수 없는 패킷 표시에 대한 특정 규칙이 다른 곳에 추가되었습니다. 이를 기반으로 패킷은 속도 제한 규칙을 건너뜁니다. 적절한 태그를 설정하여 이 문제를 해결했습니다.

関連情報