在linux下怎么获得 局域网各个ip，端口的流量速率和流量

Linux下是没有文件直接给你按进程记录流量信息的。你想要编程实现的话，办法是有的，只是比较麻烦。首先，你需要能截取流经网卡的数据包，这个可以通过libpcap来完成，其次你要完成的最重要的一步就是怎么根据端口号找到进程的pid。端口号通过截取的数据包可以获得，这个时候你要按行来解析/proc/net/tcp (如果要支持ipv6的话还要解析/proc/net/tcp6)，这个文件记录了当前活跃的TCP连接情况，每一行代表一条连接，我们感兴趣的是其中的inode这一项，你得把inode的值解析出来保存。然后蛋疼的时候来了，接下来你得遍历所有的/proc/pid/fd文件，察看其中每一个文件描述符，如果发现内容为socket[xxxx]的，把xxxx截取出来，这个xxxx也是inode号，如果和你之前解析/proc/net/tcp的inode号吻合，恭喜你，这说明这个pid和那个tcp连接有关系，进而也就确定了端口号和pid的对应关系，也就知道了数据包和进程之间的对应关系了。

配置网卡

建立一台虚拟机，并安装完成后以桥接的方式在虚拟机上面添加两张网卡。分别为eth0和eth1。

eth0: a.b.c.d(外网的上网地址)

eth1: 172.16.44.1(做为内网的网关)

Tip

原先我使用eth0:0的这种虚拟网卡的形式去配置一直不成功，后来使用双网卡的时候一直忘了把eth0:0这张虚拟网卡删掉导致了限速配置一直不成功，浪费了大把的青葱。

配置iptables nat

#开启ip_forward

echo "1">/proc/sys/net/ipv4/ip_forward

#清除原来的防火墙规则

iptables -F

iptables -t nat -F

iptables -t mangle -F

#添加nat转发

iptables -t nat -A POSTROUTING -s 172.16.44.0/24 -o eth0 -j MASQUERADE

通过执行上面的代码后，局域网内的电脑就可以上网了。

端口转发

由于我的内网还挂了网站，所以要开启80端口的转发。

iptables -t nat -I PREROUTING -p tcp -d a.b.c.d --dport 80 -j DNAT --to 172.16.44.210:80

iptables -t nat -I POSTROUTING -p tcp -d 172.16.44.210 --dport 80 -j SNAT --to 172.16.44.1

这条命令指定外网地址a.b.c.d的80端口转发到172.16.44.210:80上。由于是双网卡，所以需要做一下回路。

下载限速

下载限速要在eth1上面做，判断数据包的目的地址来做限制。tc包括三部分：队列、类、过滤器。我使用了htb方式去限制速度，也可以使用cbq，但cbq配置比较复杂一点，而且据说性能没htb好。

#删除原来的tc规则队列

tc qdisc del dev eth1 root

#添加tc规则队列

tc qdisc add dev eth1 root handle 10: htb default 256

#生成根类

tc class add dev eth1 parent 10: classid 10:1 htb rate 100mbit ceil 100mbit

#支类列表用于限制速度

#这里的rate指的是保证带宽,ceil是最大带宽。

tc class add dev eth1 parent 10:1 classid 10:10 htb rate 400kbps ceil 400kbps prio 1

#添加支类规则队列

#采用sfq伪随机队列，并且10秒重置一次散列函数。

tc qdisc add dev eth1 parent 10:10 handle 101: sfq perturb 10

#建立网络包过滤器，设置fw。

tc filter add dev eth1 parent 10: protocol ip prio 10 handle 1 fw classid 10:10

#在iptables里面设定mark值，与上面的handle值对应。

iptables -t mangle -A POSTROUTING -d 172.16.44.130 -j MARK --set-mark 1

通过上面的代码就可以限制172.16.44.130这台机子的下载速度到400kbps。

Tip

经过实际测试这里的kbps实际上就是KB/S每秒千字节。另一个单位是kbit，这个才是每秒千比特。这里的172.16.44.130也可以写成一个网段，比如：172.16.44.0/24

上传限速

上传限速的原理其实跟下载的差不多，只不过限制的网卡不同，要在eth0上过滤来源地址去限制。

#删除原来的tc规则队列

tc qdisc del dev eth0 root

#添加tc规则队列

tc qdisc add dev eth0 root handle 20: htb default 256

#生成根类

tc class add dev eth0 parent 20: classid 20:1 htb rate 100mbit ceil 100mbit

#支类列表用于限制速度

tc class add dev eth0 parent 20:1 classid 20:10 htb rate 40kbps ceil 40kbps prio 1

#添加支类规则队列

tc qdisc add dev eth0 parent 20:10 handle 201: sfq perturb 10

#建立网络包过滤器

tc filter add dev eth0 parent 20: protocol ip prio 100 handle 2 fw classid 20:10

iptables -t mangle -A PREROUTING -s 172.16.44.130 -j MARK --set-mark 2

Tip

跟下载不同的是POSTROUTING要改成PREROUTING，-d改成-s。

观察连接数

通过iptables的nat连接可以通过下面的代码查看。至于统计连接数可以写代码实现，也可以利用awk,grep等工具。反正里面的内容就是文本，处理起来也比较简单。

cat /proc/net/ip_conntrack

写在结尾

到此上网、端口转发和流量限制都已经实现。下次再考虑配置个dhcp server和dnsmasq。至于一些路由器其它诸如mac地址绑定，限制上网等用到的时候再去研究研究。

Linux下统计高速网络流量方法如下：

在Linux中有很多的流量监控工具，它们可以监控、分类网络流量，以花哨的图形用户界面提供实时流量分析报告。大多数这些工具（例如：ntopng，iftop ）都是基于libpcap 库的，这个函数库是用来截取流经网卡的数据包的，可在用户空间用来监视分析网络流量。尽管这些工具功能齐全，然而基于libpcap库的流量监控工具无法处理高速（Gb以上）的网络接口，原因是由于在用户空间做数据包截取的系统开销过高所致。

在本文中我们介绍一种简单的Shell 脚本，它可以监控网络流量而且不依赖于缓慢的libpcap库。这些脚本支持Gb以上规模的高速网络接口，如果你对“汇聚型”的网络流量感兴趣的话，它们可统计每个网络接口上的流量。

脚本主要是基于sysfs虚拟文件系统，这是由内核用来将设备或驱动相关的信息输出到用户空间的一种机制。网络接口的相关分析数据会通过“/sys/class/net/<ethX>/statistics”输出。

举个例子，eth0的网口上分析报告会输出到这些文件中：

/sys/class/net/eth0/statistics/rx_packets: 收到的数据包数据

/sys/class/net/eth0/statistics/tx_packets: 传输的数据包数量

/sys/class/net/eth0/statistics/rx_bytes: 接收的字节数

/sys/class/net/eth0/statistics/tx_bytes: 传输的字节数

/sys/class/net/eth0/statistics/rx_dropped: 收包时丢弃的数据包

/sys/class/net/eth0/statistics/tx_dropped: 发包时丢弃的数据包

这些数据会根据内核数据发生变更的时候自动刷新。因此，你可以编写一系列的脚本进行分析并计算流量统计。下面就是这样的脚本（感谢 joemiller 提供）。第一个脚本是统计每秒数据量，包含接收（RX）或发送（TX）。而后面的则是一个描述网络传输中的接收（RX）发送(TX)带宽。这些脚本中安装不需要任何的工具。

测量网口每秒数据包：

#!/bin/bash

INTERVAL="1" #update interval in seconds

if [ -z "$1" ]then

echo

echousage: $0 [network-interface]

echo

echoe.g. $0 eth0

echo

echoshows packets-per-second

exit

fi

IF=$1

while true

do

R1=`cat/sys/class/net/$1/statistics/rx_packets`

T1=`cat/sys/class/net/$1/statistics/tx_packets`

sleep$INTERVAL

R2=`cat/sys/class/net/$1/statistics/rx_packets`

T2=`cat/sys/class/net/$1/statistics/tx_packets`

TXPPS=`expr$T2 - $T1`

RXPPS=`expr$R2 - $R1`

echo"TX $1: $TXPPS pkts/s RX $1: $RXPPS pkts/s"

done

网络带宽测量

#!/bin/bash

INTERVAL="1" #update interval in seconds

if [ -z"$1" ]then

echo

echousage: $0 [network-interface]

echo

echoe.g. $0 eth0

echo

exit

fi

IF=$1

while true

do

R1=`cat/sys/class/net/$1/statistics/rx_bytes`

T1=`cat/sys/class/net/$1/statistics/tx_bytes`

sleep$INTERVAL

R2=`cat/sys/class/net/$1/statistics/rx_bytes`

T2=`cat/sys/class/net/$1/statistics/tx_bytes`

TBPS=`expr$T2 - $T1`

RBPS=`expr$R2 - $R1`

TKBPS=`expr$TBPS / 1024`

RKBPS=`expr$RBPS / 1024`

echo"TX $1: $TKBPS kb/s RX $1: $RKBPS kb/s"

done

下面的屏幕截图显示了上面的两个脚本的输出。

---