如何用ulimit控制网络带宽?你可能想错了方向
提到系统资源限制,很多朋友的第一反应就是 ulimit 命令。没错,它在管理用户进程资源方面确实是个好手,比如控制文件描述符数量、进程数上限这些。但如果你想把限制网络带宽的希望寄托在它身上,那恐怕要失望了——ulimit 本身并不提供直接限制网络带宽的功能。

那么,真正要管住网络的“水管”,该用什么工具呢?别急,下面就来聊聊两个更专业的选手:tc(Traffic Control)和 nftables。
使用 tc 限制网络带宽
tc 是 Linux 内核自带的功能强大的流量控制工具,可以说是精细化管理带宽的“瑞士军刀”。具体怎么用?我们一步步来看。
- 准备工作:首先,确保你的系统已经安装了
iproute2软件包,它包含了tc命令。安装命令很简单:
sudo apt-get install iproute2 # Debian/Ubuntu
sudo yum install iproute # CentOS/RHEL
- 设置全局带宽限制:接下来,使用
tc命令创建一个队列规则(qdisc)来给网络接口“套上缰绳”。比如,想把网卡eth0的上传和下载速度都限制在 1Mbps,可以执行以下命令:
sudo tc qdisc add dev eth0 root handle 1: htb default 30
sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit
sudo tc class add dev eth0 parent 1:1 classid 1:30 htb rate 1mbit
- (进阶)限制特定进程:如果不想“一刀切”,只想限制某个特定程序的带宽,
tc也能做到。这就需要用到它的u32过滤器了。先找到目标进程的 PID 和它使用的端口,然后创建一个过滤器:
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip sport <进程端口> flowid 1:30
记得把 <进程端口> 替换成实际的端口号。这样一来,只有通过这个端口的流量才会被限制速度。
使用 nftables 限制网络带宽
除了 tc,新一代的防火墙工具 nftables 也提供了灵活的带宽限制能力,配置起来更像是在写一份策略声明。
- 安装工具:首先,确保系统里已经安装了
nftables:
sudo apt-get install nftables # Debian/Ubuntu
sudo yum install nftables # CentOS/RHEL
- 编写规则集:创建一个规则文件,比如叫
bandwidth.nft,然后把下面的策略写进去:
#!/usr/sbin/nft -f
flush ruleset
table ip filter {
chain input {
type filter hook input priority 0; policy drop;
# 允许本地回环接口的流量
iif lo accept
# 允许已建立的连接
ct state established,related accept
# 限制带宽:超过1Mbps的部分将被丢弃
limit rate over 1mbit burst 10kb burst 10kb accept
# 拒绝其他所有流量
drop
}
chain forward {
type filter hook forward priority 0; policy drop;
# 允许本地回环接口的流量
iif lo accept
# 允许已建立的连接
ct state established,related accept
# 限制带宽
limit rate over 1mbit burst 10kb burst 10kb accept
# 拒绝其他所有流量
drop
}
chain output {
type filter hook output priority 0; policy accept;
}
}
其中,over 1mbit 这个参数就是关键,把它改成你想要的带宽上限即可。
- 加载并启用规则:写好之后,用一条命令加载它:
sudo nft -f bandwidth.nft
- 设置开机自启:如果希望重启后规则依然生效,记得把上面的加载命令添加到
/etc/rc.local文件里(放在exit 0这行之前)。
最后必须提醒一句:无论是 tc 还是 nftables,它们对网络流量的干预都是直接而有力的。在生产环境应用之前,务必在测试环境中充分验证,避免因为配置不当影响关键的网络服务。毕竟,把水管拧得太紧,谁都喝不上水了。
