Eugene Berdnikov -> debian-russian@lists.debian.org @ Tue, 28 Jun 2016 10:59:49 +0300:
>> Я хочу предоставлять некоторым визитерам своей квартиры гостевой доступ >> в интернет, с ограничением вида "10 мегабайт на хост за два часа". > ... >> Посмотрел на hashlimit у iptables - оно умеет только в секунду. > Судя по ману, hashlimit умеет и часы, и даже дни. Однако для этой > задачи он плох тем, что в burst ему можно указать лишь число пакетов, > а не объём трафика. Я почитал более тщательно. Время он умеет только при количестве пакетов. При байтах - только секунду. С другой стороны, в burst можно указывать байты. В соответствующем абзаце это сказано не шибко внятно, но там пример на это есть. Я вот думаю, может, для простоты сделать --hashlimit-above 1b/s --hashlimit-burst 10mb --hashlimit-htable-expire 172800000 ? (expire у него в миллисекундах...) quota тоже интересно, впрочем. Надо поэкспериментировать. С квотой только, боюсь, засада в том, что надо на каждый адрес отдельное правило. hashlimit хорош тем, что задается одно правило на всю подсеть, а считать можно попросить по каждому адресу отдельно. И задается статически. Я очень люблю свою статическую конфигурацию iptables, которая при старте системы поднимается iptables-restore из того, что было сохранено iptables-save.