KVM traffic shaping na úrovni hostitele

Dobry den,

jde nejak rozumne blokovat/limitovat pocet paketu, pokud virtualizuji pomoci KVM? zkousel jsem iptables s pravidly na eth0 i zarizeni, ttere ma konkretni virtual. Nejsem schopen se dostat primo do virtualu, ale potrebuji ho seriznout na dejme tomu 1000pps.

zkousel jsem to takto, ale i pomoci MAC adres konkretniho interface. iptables -A INPUT -i tapxxxi0 -m limit --limit 1000/second --limit-burst 1500 -j ACCEPT

Dalsi veci je jestli jde nejak u takto bridgovanych interfaces zablokovat konkretni IP adresu pro IN/OUT spojeni.

eth0 je nabridgovana do vmbr a do tohoto bridge se pridavaji dalsi rozhrani pro konkretni VPS.

pomoci iftop/iptraf/tcpdump jsem samozrejme schopen se podivat na data, co tecou po konkretnim iface, ale na traffic shaping jsem neprisel.

Diky za odpoved

Tomas Hodek

Jsem trochu liny to zkouset, ale myslim ze klicova informace je, ze by jsi se mel venovat tabulce FORWARD, nikoliv INPUT, coz by melo byt odpoved pro druhou cast dotazu. Pripadne by to melo jit odfiltrovat za pomoci ebtables a znalosti MAC adresy guesta

Even if you fall on your face, you’re still moving forward

22.1.2014 20:26 driici
Rozbalit Rozbalit vše Re: KVM traffic shaping na úrovni hostitele

Ebtables neumi bohuzel limitovat pocet paketu, aspon co jsem pochopil. A s forward chainem jsem take neuspel, protoze traffic je ve druhe vrstve a ne ve treti :(

22.1.2014 20:47 Tyf
Rozbalit Rozbalit vše Re: KVM traffic shaping na úrovni hostitele

Zda bridgovany provoz leze pres iptables forward se prepina pomoci /proc/sys/net/bridge/bridge-nf-call-ip*tables . U me je to defaultne zapnute.

Neni spis problem, ze provoz je -i br0 -o br0?

Dotaz: KVM traffic shaping na úrovni hostitele

Odpovědi