limit 的原理是匹配每秒通过的数据包，根据 tcp 握手的过程通过限制源数据包的数量来同时限制返回的数据包数量，所以原则上不是用来限制流量用途的。一般能调节的就是--hashlimit-burst 100 突发最高可以通过 100 包，然后不断的减少直到 0 ，而 hashlimit 80/sec 是用来产生多少包来补偿--hashlimit-burst 100 减少的，但最高也只能到 100 ，所以它不是用来限流量的，只是因为限制并发而连带的抑制流量过程。

我那两句用 wget 测试的时候， wget 属于单线程可以将流量限制在 200kb-1mb 之间。也许你应该用-hashlimit-mode srcip 限制每 ip ，然后调整 80/sec 为 40/sec 。然后再试试。

行为管理设备，应该主要起安全接入作用。比如会限制员工访问淘宝之类的，反正有注意到比较明显的页面访问故障，通通都是它的问题。其实这种东西一般人转人大家都知道的。

这个东西看起来就是老板请员工，如果你不在工作时间上淘宝就不会被限制。但是它更可怕的是有记录功能，注意是有记录功能的， http 就不用讲了，最近看了一些文档原来 https 也是可以轻易中间人的。而此时网管人员的人品就备受关注。前公司，当然是领导同意购买了网康的设备，可是领导往往不懂技术啊。据说网管被开除就是因为发现他在阅读领导的邮件，呵呵搞笑。一个 100 多人的办公点，没想到一个小小的网管掌握了那么多人的隐私。设备上的硬盘好像是 160GB 容量的。

你想了解别人的隐私吗，欢迎使用作为管理设备。特别是自己花钱雇人还并员工掌握了隐私，要小心哦！

骗钱不多高息利诱吗，然后人跑了，钱没了。还是继续余额宝。

比较理想的是用 tc ，不过 vps 不支持。
connlimit 一直没有好的印象，容易导致网络中断，像打开网页时突然就是白屏页面，在第三方固件和 ros 上测试过，印象一直不好， vps 上还没实际应用过。

limit 是需要一个具体 ip 才能实现效果的，所以如果仅仅使用 limit 需要不断的侦测源 /目的 ip ，然后用脚本动态调用 iptables 进行插值处理才能针对特定 ip 实现连接数匹配，而 hashlimit 则是个增强版至少解决前面这些过程。


-A INPUT -p tcp -m multiport --dport 80,1723,8080,8443,8843 -m hashlimit --hashlimit-name obfs --hashlimit 80/sec --hashlimit-burst 350 --hashlimit-mode srcip,srcport --hashlimit-htable-expire 300000 -j ACCEPT
-A INPUT -p tcp -m multiport --dport 80,1723,8080,8443,8843 -j REJECT

这个 hashlimit 由于是用令牌筒概念实现的，所以匹配的每秒数据包通过数量就有多有少，造成流量的不精确，效果肯定是不如 tc 的。有时候没有别的方法也只能根据 tcp 握手的过程，通过限制数据包来达到限制流量的过程。

limit 肯定比 connlimit 好， connlimit 实际测试在打开网页方面会导致断开白页。但是这属于全局限制，需要具体指定 ip ，用 hashlimit 吧，可以通过限制并发来限制流量。更高级的有 quota 。

竟然说 iptables 没用，完全没有丁点安全意识，分分钟钟等着被人爆破。

不是有个在线 pac 吗用的就是这服务器，如果没限速的话，我这里也跟搬瓦工一个样，受制电信并没什么惊喜。

nat 内网还有一个实现，有 openwrt 的话按照网上的教程还是能很快配置成功的。

www.remlab.net/miredo

ipv6 线路跟 ipv6 代理还是不一样的。

电信公网 ip 用户最方便的也许就是 6to4 了， ipv6 线路的实现最大的好处可以借助网上分布在世界各地的免费 ipv6 tunnel 实现穿越，真正的条条大路通 google 。也就是原先只能 1 个 ipv4 访问，现在拥有 1 个 ipv4+3 个 ipv6+N 个 ipv6 tunnel ，一下就可以突破种种关卡。如果得借助 haproxy 就可以将访问通过不同的 ip 线路出去到服务器上统一的代理，看起来流量就分布到不同的线路上了。

nat 内网的话有 gogoc 吧，但是一直不清楚服务器端是如何实现的。所以只要有电信的公网 ip ，实现 6to4 6in4 还是没问题的。

哈哈，以前就算跑到上海的郊区，都在郊区了那天空就跟地上的黄土一样混，哪有什么云之类的东西。老家是浙江空气质量排名前二的地方，天天蓝天白云。过半小时到市区到处有一股工业化的味道，那天空马上变色不再蔚蓝。

有时候安装一些软件，像早期的 softether 版本内置的 nat 版本就会导致 cpu 占用 90%，通常这些问题也不是重启就能解决的，只能用脚本去侦测然后重启进程。最搞的一次 centos 7 yum update 以后 openssl 进程执行以后不会退出导致多个进程 cpu 占用非常高，最后似乎是禁用了。最好用 top 看一下是什么东东占用了 cpu 和内存资源。

linux 下面是有个命令可以用来回复内存的，不过 vps 好像是禁用的。第三方路由固件也就 ralink 可以通过它来无限回复内存，内存这东西无限消耗下去终有一天会导致进程因剩余内存不足而崩溃只能重启了。然后 linux 下面可以做 tc 优先级来标记流量队列。

哪有这么高深的技术，看 tcpview 连接连 10 个都没，网速 40-120kb ，多半是直接限了并发连接。白天那可是满屏连接，哎。限并发最廉价，又最节省硬件资源。

手里的 x86 平板路由器里有 privoxy 提供选择性代理，平时用 smart proxy 多，简单方便， proxydroxd 对 pac 语法有要求没配成功过，这东西最后一版经常没响应。 dony 这东西。。。是神用的复杂的要命最后还没效果。。。反正以前 flora_pac 的语法就从来没在 android v4 成功过，最后还是 smart proxy 最省事。

还可以操作啊，这太 NB 了。多半是那些缓存服务器的问题，以前用那些 12306 的抢票软件，还不是东一个帐号西一个帐号，只是都不能操作。

http 啊，都不知道多少东西记录在网关上，想想公司那种行为管理设备就怕。。。

148962/8=18620.25kb/s 200mbps 的光纤用户，速度是挺 NB ，搬瓦工就是 200kb 看完一个 5 分钟的视频都掉不了 100 帧，才看了 5568 帧就掉了 5518 帧。
宽带用户应该也有分级的同一个 QOS 设置，以前在上海电信 20mbps 都可以轻松对付迅雷，目前用的浙江电信 4mbps ，这应该是最低档，并发最多 500 个，一直无法确认是否 vps 限速，因为在国外访问依然是 40MB/s 。 psiphon linux 版的服务器少吗，能连到高速的情况非常少。