Исправление vel, (текущая версия) :
у ifb есть родовая травма - трафик через него нельзя контролировать с помощью iptables/ipset/conntrack
И для решения этой проблемы был создан IMQ, но у него другая родовая травма - его нет и не будет в официальном ядре.
А с другой стороны - сервис можно запустить в отдельном netns и форвардить туда с использованием iptables/ipset/conntrack/dpi/tc
Зачем шейпить ботов? Их дропать нужно.
Исходная версия vel, :
у ifb есть родовая травма - трафик через него нельзя контролировать с помощью iptables/ipset/conntrack
И для решения этой проблемы был создан IMQ, но у него другая родовая травма - его нет и не будет в официальном ядре.
А с другой стороны - сервис можно запустить в отдельном netns и форвардить туда с использованием iptables/ipset/conntrack/tc