@nandoiin said in Limitar conexões de entrada:

Exemplo: possuo um servidor web que é acessado via NAT na porta 443. Cada conexão, dependendo do procedimento feito, utiliza 100Kb, 500Kb, 2Mb, 5Mb... Existe como limitar toda e qualquer conexão nova a uma velocidade máxima de 1Mbps?

Sei que se eu criar varias regras, colocar IP de origem em cada, criar no traffic shaper e adicionar em Advanced In / Out Pipe a velocidade que quero, vai funcionar... Porém tenho muitos IPs diferentes conectando e a maioria não é fixo... Alguém sabe como posso fazer esse controle de banda?

Aplique a mascara no limiter de acordo com usa necessidade. Source address na maioria das vezes atende bem.

@pskinfra
combinado! Falamos por hanghouts (cavnetpt@gmail.com).
Obrigado pela disponibilidade

@marcelloc Obrigado pelas dicas!

Conseguiu resolver essa questão?

Obrigado pelas dicas pessoal vou fazer os testes.

@marcelloc, realizei da seguinte forma a regra do Firewall, qualquer protocolo mas com o destino do servidor de internet banking que usamos e o gateway estilo failsafe. Agradeço Mais uma vez!
0_1531316823290_Captura de Tela (1).png

Amigos, só resolvi criando um Alias com os seguintes hosts e depois adicionando em bypass:

w1.web.whatsapp.com
w2.web.whatsapp.com
w3.web.whatsapp.com
.
.
.
w10.web.whatsapp.com

Não sei se é a forma mais certa, sou novato, mas funcionou.

Amigos, criei uma conta apenas pra dizer que deu certo.

Eu uso proxy transparente com SSL ativado. Funcionou colocando a palavra "itau" (sem aspas" em by pass origem e destino. Tambem funcionou criando um Alias com os seguintes HOSTS:

itau.com.br
www.itau.com.br
bankline.itau.com.br
guardiao.itau.com.br

Espero ajudar os proximos que buscarem por esse problema.

Concordo com Marcelo, problema no Firewall aconteceria questão de áudio de uma via ou ligação caindo sempre aos 32 segundos, por exemplo.

Dá uma monitorada via tcpdump pra ver se ele te mostra o que tá terminando a ligação e se possível peça para o seu provedor monitorar na outra ponta também, SIP é bem complexo e possui muitas variantes que podem prejudicar o funcionamento.

Obrigado, fiz a alteração solicitado e deu certo, coloquei tbm os ips dos sites na acl pra liberar e deu certinho.

Att,
Anderson

Obrigaduu

@marcelloc grato por responder. vou ver como que faz.

abraços,

pode me mandar um zap? 11 99811-4052

@lucianosaulo Não ha necessidade, vc pode utilizar apenas 1 regra.
pode liberar TUDO com apenas o destino da porta do DNS!

Pessoal passei aqui pra deixar uma dica referente ao skype, eu usei regras liberei portas criei varios aliases e nada o que resolveu na verdade foi a inclusão do dominio (live.com) na whitelist, eu uso por padrao as portas todas bloqueadas e também uso proxy autenticado local, nas opções do internet explorer eu deixei uma exeção do skype (*.local;skype) dessa forma aqui está funcionando.
Espero ter ajudado pois perdi 3 noites quebrando a cabeça.

Veja nos logs os serviços que estão sendo bloqueados. Depois você cria uma regra só com os range de IP que está sendo bloqueado.

Reforçando o que o @marcelloc disse, em tese, terias que ter em Rules > LAN, minimamente, as seguintes regras:
Protocol IPv4 TCP
Source (rede interna)
Port * (todas)
Destination This Firewall
Port 3128
Gateway *

E, mais abaixo, uma regra para sair para a internet:
Protocol IPv4 *
Source (rede interna ou, caso queiras limitar a saída para a internet apenas pelo proxy, IP do proxy)
Port * (todas)
Destination *
Port 80 e 443 (ou * caso queiras todas)
Gateway (failover gateway group)

@marcelloc, por favor, me corrija se eu estiver errado!