デビアンな生活 2010年05月

デビアンな生活

日本語コンソールベースのDebianTIPS集として始めたが、結局LXDEになってしまった。

iptablesの起動

Woodyまでは、/etc/init.d/iptablesがあり、サービスとして起動していたが、Sargeからはなくなっていた。Sargeのときは起動スクリプトを作って対応していたが、面倒なので、Etchからは/etc/network/if-up.dに直接スクリプトを置いていた。iptablesのスクリプトでdomain nameを使っているので、エラーになって/etc/network/pre-upに置けないことや、インターフェースごとに実行されるので、eth1が起動するまではエラーになることが気になっていたので、今回eth1のオプションスクリプトに変更した。

/etc/network/interfaces
>iface eth1 inet dhcp
> pre-up /path/iptables-down
> post-up /path/iptables-up

iptables-downは、すべてDROPのスクリプト
iptables-upが、パケットフィルタリングなどのスクリプト
スポンサーサイト

iptablesによる帯域制限

光ファイバーで回線は高速になり便利だが、大量にダウンロードをする子供には困ったもので、とりあえず帯域制限をかけてみた。

# iptables -A FORWARD -p tcp --dst 192.168.??.?? -m hashlimit --hashlimit-above 100/sec --hashlimit-burst 1000 --hashlimit-mode dstip --hastlimit-name dlimit -j REJECT

ほかのルールに影響しないように、!記号で反転してrejetctしている。dstのあとはIPアドレス。
windowsのMTUは1500なので、パケットあたりのデータの上限は1460バイトとなり、100/secで100x1460x8=1.2Mbpsとなる。
Gyaoの推奨環境が1Mbps以上なので、これでよしとする。
また、ブラウジングのレスポンスを考えて、burstは1000(1.4Mbyte)とした。

FC2Ad