← retour aux snippets

nftables: limiter par quota de bytes

Appliquer un quota de trafic par clé (ex: IP) avec remise à zéro périodique.

bash security #nftables#quota#limit

objectif

Limiter l’usage abusif d’une ressource en bytes transférés.

code minimal

sudo nft add table inet quota
sudo nft add chain inet quota input { type filter hook input priority 0; }
sudo nft add rule inet quota input ip saddr 0.0.0.0/0 quota over 100 mbytes drop

utilisation

# quota par IP (requires sets dynamiques selon versions)
sudo nft add rule inet quota input ip saddr quota over 10 mbytes drop

variante(s) utile(s)

# inspecter
sudo nft list ruleset

notes

  • support dépend de la version nft/kernel.
  • pour précision, utilisez des counters par élément dans un set.