如何用ulimit控制网络带宽

如何用ulimit控制网络带宽？你可能想错了方向

提到系统资源限制，很多朋友的第一反应就是 ulimit 命令。没错，它在管理用户进程资源方面确实是个好手，比如控制文件描述符数量、进程数上限这些。但如果你想把限制网络带宽的希望寄托在它身上，那恐怕要失望了——ulimit 本身并不提供直接限制网络带宽的功能。

那么，真正要管住网络的“水管”，该用什么工具呢？别急，下面就来聊聊两个更专业的选手：tc（Traffic Control）和 nftables。

使用 tc 限制网络带宽

tc 是 Linux 内核自带的功能强大的流量控制工具，可以说是精细化管理带宽的“瑞士军刀”。具体怎么用？我们一步步来看。

1. 准备工作：首先，确保你的系统已经安装了 iproute2 软件包，它包含了 tc 命令。安装命令很简单：

sudo apt-get install iproute2 # Debian/Ubuntu
sudo yum install iproute # CentOS/RHEL

2. 设置全局带宽限制：接下来，使用 tc 命令创建一个队列规则（qdisc）来给网络接口“套上缰绳”。比如，想把网卡 eth0 的上传和下载速度都限制在 1Mbps，可以执行以下命令：

sudo tc qdisc add dev eth0 root handle 1: htb default 30
sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit
sudo tc class add dev eth0 parent 1:1 classid 1:30 htb rate 1mbit

3. （进阶）限制特定进程：如果不想“一刀切”，只想限制某个特定程序的带宽，tc 也能做到。这就需要用到它的 u32 过滤器了。先找到目标进程的 PID 和它使用的端口，然后创建一个过滤器：

sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip sport <进程端口> flowid 1:30

记得把 <进程端口> 替换成实际的端口号。这样一来，只有通过这个端口的流量才会被限制速度。

使用 nftables 限制网络带宽

除了 tc，新一代的防火墙工具 nftables 也提供了灵活的带宽限制能力，配置起来更像是在写一份策略声明。

1. 安装工具：首先，确保系统里已经安装了 nftables：

sudo apt-get install nftables # Debian/Ubuntu
sudo yum install nftables # CentOS/RHEL

2. 编写规则集：创建一个规则文件，比如叫 bandwidth.nft，然后把下面的策略写进去：

#!/usr/sbin/nft -f
flush ruleset
table ip filter {
    chain input {
        type filter hook input priority 0; policy drop;
        # 允许本地回环接口的流量
        iif lo accept
        # 允许已建立的连接
        ct state established,related accept
        # 限制带宽：超过1Mbps的部分将被丢弃
        limit rate over 1mbit burst 10kb burst 10kb accept
        # 拒绝其他所有流量
        drop
    }
    chain forward {
        type filter hook forward priority 0; policy drop;
        # 允许本地回环接口的流量
        iif lo accept
        # 允许已建立的连接
        ct state established,related accept
        # 限制带宽
        limit rate over 1mbit burst 10kb burst 10kb accept
        # 拒绝其他所有流量
        drop
    }
    chain output {
        type filter hook output priority 0; policy accept;
    }
}

其中，over 1mbit 这个参数就是关键，把它改成你想要的带宽上限即可。

3. 加载并启用规则：写好之后，用一条命令加载它：

sudo nft -f bandwidth.nft

4. 设置开机自启：如果希望重启后规则依然生效，记得把上面的加载命令添加到 /etc/rc.local 文件里（放在 exit 0 这行之前）。

最后必须提醒一句：无论是 tc 还是 nftables，它们对网络流量的干预都是直接而有力的。在生产环境应用之前，务必在测试环境中充分验证，避免因为配置不当影响关键的网络服务。毕竟，把水管拧得太紧，谁都喝不上水了。