Traffic shaping
-
gracias por su pronta respuesta señor bellera. queria tambien saber en la seccion de agregar paquetes adicionales cuales son los mas indicados ya que me aparecen mas de 25 paquetes adicionales de instalacion freeradius, bandwith, squid, etc para que seria estas aplicacione s y su funcionabilidad conosco squid como proxy. es el unico, pero es mi mayor duda mi amigo endcoronel me dijo que con freeradius quedaba mas a tono para que es esta funcion de agregacion.
-
¡Hola!
FreeRadius es para autentificación de usuarios, por ejemplo, en casos wireless.
Squid es para tener una cache de páginas web en disco. Además permite filtrar contenidos, basándose en la dirección web a la que va el usuario. Y. finalmente, permite validación de usuario al ir a Internet. Lo usual es usar Squid para el lado LAN.
En cuanto al resto de paquetes hay una pequeña explicación en cada uno de ellos. Y buscando con Google el paquete puedes ir a su página web. Muchos de ellos tienen capturas de pantalla dónde se ve qué hacen.
Saludos,
Josep Pujadas
-
gracias por la respuesta señor bellera. en mi red del cyber lo unico que quiero es colocar a trabajar a todo el mundo en 256 kbps y colocar el squid para el chache. tendria que colocar traffic sharper general? como le dije anteriormente tengo una conexion de 1536 kbps que seria igual 192 k diviendo entreo ocho logicamente cuantas maquinas soportaria el pfsense. y gracias nuevamente por la pronta respuesta a mis preguntas.
la otra era cual es la fiferencia de colocar a pfsense en modo https? y no httP? y si una conexion no usa el ancho de banda esa conexion ayuda a las demas? o reparte entre la lan??
y tambien quisiera saber si pfsense trae un medidor de velocidad y donde entro para verlo???
-
¡Hola!
https es para tener seguridad dentro de tu LAN al administrar tu pfSense. La información viaja encriptada en lugar de texto plano. Según como tengas la red, un ataque puede hacerse desde dentro o desde fuera …
Por lo que explicas yo probaría inicialmente sólo con squid, para ir teniendo una caché local.
Más tarde, si en determinadas actividades quieres dar preferencias entonces aplicaría Traffic Shaper. La cuestión es más bien si quieres garantizar o no un caudal para navegación "normal" cuando hay gente empleando p2p. Bueno, esto es lo que me parece ... No soy experto en cybers ...
Saludos,
Josep Pujadas
-
hola buenas tardes señor bellera mi pregunta era la siguiente como hago para colocarme una ip con un ancho de banda definido como cliente especial en pfsense o salirme de las reglas aplicadas en traffic sharper? existen las pipes? que son? ya logre colocar la navegacion pero general ahora solo requiero de esa informacion muchas gracias por la ayuda prestada. como debo hacer?
-
¡Hola!
Tengo el tema algo oxidado, porque no empleo actualmente Traffic Shaper. Pero la idea sería la siguiente:
1. Leer detenidamente cómo funcionan las colas, http://www.bellera.cat/josep/pfsense/cabal_cs.html
2. Hacer una copia de seguridad de la configuración del cortafuegos.
3. Modificar las colas, creando una de específica para el cliente especial. ¡Ojo! Hay que respetar la estructura que tienen las colas (madres, hijas).
4. Modificar las reglas de Traffic Shaper, creando una de específica para el cliente especial, con la cola también específica.
5. Monitorear e ir ajustando …
Traffic Shaper requiere imaginación, testeo y paciencia ... Yo lo descarté porque en mi caso (centro educativo) más valía cortar los p2p de golpe (seguridad, legalidad, ancho de banda, ...).
Saludos,
Josep Pujadas
-
gracias por la respuesta hermano bellera pero de verdad si no usas traffic sharp como haces para manejar el ancho de banda?? de cada usuario pense que era una solucion logica ante los usuarios abusivos de la banda solo cortaste el uso del p2p? y para tener tantos pc?? con una sola conexion? o haces balanceo de carga??? una pregunta cuantas conexiones wan tienes osea proveedora de servicios y a que velocidad trabaja cada maquina en tu red?? son dudas que me hago al ser usted el maestro en pfsense me hago estas preguntas para ver el alcance de este corta fuegos que intengra varias opciones espsificas ley que alguien aplico pipes me canso de buscarlo en pfsense y no lo veo por ningun lado seguire de antenamo sus recomendaciones. y hare el estudio correspondiente a las colas
-
¡Hola!
Es cierto que cortando sólo p2p puedo tener usuarios abusivos. Por ejemplo, haciendo ftp o visionando videos en youtube.
Pero juego con el hecho que tengo un squid externo a pfSense bastante afinado, en el lado de la LAN de mis alumnos. Por tanto estoy sirviendo contenidos a 100 Mbit/s una vez están dentro de la caché.
La conexión ADSL que emplean los alumnos es de 2 Mbit/s (Telefónica España). No podemos ir a más porque estamos a una distancia algo importante de la central telefónica y el hilo de cobre permite sincronizar la ADSL a más velocidad.
Pueden haber hasta unos 70 usuarios simultáneos y hay que tener presente que cuando una aula trabaja con una determinada temática las páginas web pueden ser muy repetitivas. De ahí otro interés de tener una caché local (squid).
Es cierto que la documentación de pfSense es algo pobre, com vienes a decir al final de tu mensaje.
Saludos,
Josep Pujadas
-
gracias por la pronta respuesta pero como puedo montar un squid alterno a pfsense????
podria montarlo en windows??? lo e usado solo en windows nt un squid version stable 13 delay polls
nunca pude configurarlo para el ancho de banda asi que hice la migracion a pfsense con la ayuda de un amigo del foro endcoronel. pero si me gustaria tener un cache web en la red -
¡Hola!
Sí se puede montar un squid con Windows, http://www.squid-cache.org/Download/binaries.dyn
Pero es una lástima …
;-)
Yo lo intentaría con FreeBSD o Linux, una solución mucho más estable, eficaz y libre de royalties. Porque además de squid luego llegará squidguard, dansguardian, sqstat, sarg, ... Todo esto son añadidos (mejoras) que podrás ir haciendo a tu squid, de forma totalmente LIBRE.
http://www.google.com/search?hl=ca&q=como+empezar+freebsd&lr=
Saludos,
Josep Pujadas
-
gracias hermano por la informacion tengo una duda puedo autenticar a los usuarios por wifi?? y solo establecer que naveguen en horas nocturnas??? como tendria que hacer? colocare una antena sectorial de 180 grados y necesito saber esa informacion deseo que usen mi red solo desde las 7 de la noche hasta las 7 de la mañana del siguiente dia. señor bellera una pregunta mi conexion es de 1536 kbps regule traffic sharp a 512 y 256 respectivamente pfsense toma toda la conexion y la administra??? o solo toma lo que le estableci en la regla??? del ancho de banda? gracias por ser oportuno en mis dudas. saludos desde venezuela
-
¡Hola!
Mira las posibilidades que tiene Captive Portal. Puedes ir desde una autenficación de usuarios en el propio pfSense hasta un servidor FreeRadius (en el propio pfSense o fuera de él).
En cuanto a Traffic Shaper las colas toman todo el tráfico disponible, normalmente no "cortan" el ancho de banda. Es decir, lo que configuras (en principio) es un reparto, no una restricción de ancho de banda.
Si miras la explicación en http://www.bellera.cat/josep/pfsense/cabal_cs.html verás que hay parámetros que permiten "cortar" el caudal de una cola. Pero no debería ser lo habitual, lo lógico es hacer reparto.
Saludos,
Josep Pujadas
-
saludos hermano bellera necesito de una ayuda urgente explicare mi caso
tengo un cyber de 12 maquinas mas actualmente 3 clientes externos en modo wifi a traves de un puente que hice con router ap en modo lan todo hasta ahora funciona perfecto y los usuarios navegan bien ojo no soy un experto en esta materia y curiosidad me a llevado a esto y a investigar en el mundo de las redes y servidores cortafuegos etc. gracias a la ayuda de un gran tecnico como lo es el amigo endcoronel y sus consejos e logrado muchos avances en tan poco tiempo pero al igual que muchos logra el exito en un determinado sistema necesita de estudio y tiempo dedicacion etc. ahora la red empieza a crecer y bueno hay que hacer los ajustes
1 la seguridad de la red, aun no coloco el portal cautivo por mi falta de experiencia y ayuda tecnica asi que opte por las opciones sencillas
2. modifique en traficc el modo de cola de la wan no conosco de bits ni de kbist eso me enreda asi que opte por % en su espesificacion, se asigno con el configurador que trae el mismo y esta predetermiando osea como queda despues del asistente solo modifique la wan en 95% a mi entender esa es el ancho de banda que toma de por si mejoro mucho en relacion a los 256 kb que tenia por defecto
3. quisiera saber detenidamente como asigno una navegacion por horarios ya que deseo que 10 o mas usuarios naveguen mientras mi cyber esta cerrado.o osea desde 8 de la noche a 8 de la mañana.
4. ley en las colas hermano bellera que usted a mano ajusto el traffic entiendo que eso esta en el manual y trabajo con los porcentajes directamente fue monitoreando y ajustando logicamente su red es mas grande que la mia pero mi duda es si debo respetar el 100 % osea 84 a 16%= en mi caso quedaron 25% a 25 % las cuatro opciones que trae en las quees
5. deseo saber como aceptar solamente las mac colocadas en dhcp leases y que ninguna otra mac al menos que estes autorizada se conecte todo lo maneje pfsense por mac y por ip. ya me dieron el soporte para eliminar el p2p pero como hago para permitir el p2p de ares lite en horas nocturnas cuando hay menor cantidad de usuarios ya que esta comenzando la red a crecer son dudas de humilde forista a lo mejor es larga mis preguntas pero las tenia acumuladas ya que comence a sacar la red por aire. sin mas que hacer referencia me despido de usted quedando a sus gratas ordenes en venezuela, muchas gracias por toda la ayuda prestada. -
¡Hola!
Tal com se explica en el tutorial los ajustes de la colas hay que hacerlos controlando que no haya pérdidas (drops) sobretodo en las colas acks, que son las de acuse de recibo, http://www.bellera.cat/josep/pfsense/imatges/queues_1.gif
Activa la casilla "Deny unknown clients" para que tu DHCP no admita MAC no definidas, http://www.bellera.cat/josep/pfsense/dhcp_cs.html#LAN
En cuanto a horarios, he visto que se pueden establecer horarios para las reglas del cortafuegos pero es un tema en el que no he trabajado. A ver si algún otro participante del foro se anima a explicarnos cómo funciona …
Saludos,
Josep Pujadas
-
hola buenas tardes mi pregunta era la siguiente cobro un conjunto de puertos desde el 2300 hasta 2399 seria colocarlo de la siguiente forma 2300: 2399???? seria esa la mejor forma de colocarlo???en un alias o ya sea en rules directamente???
-
Por favor, mejor abrir un nuevo hilo para preguntar cosas nuevas …
Si sólo vas a emplear el rango de puertos en una regla no tiene importancia. Pero si el rango de puertos lo vas a emplear en distintos sitios es más cómodo emplear un alias.
Saludos,
Josep Pujadas
-
saludos hermano bellera necesito de una ayuda urgente explicare mi caso
tengo un cyber de 12 maquinas mas actualmente 3 clientes externos en modo wifi a traves de un puente que hice con router ap en modo lan todo hasta ahora funciona perfecto y los usuarios navegan bien ojo no soy un experto en esta materia y curiosidad me a llevado a esto y a investigar en el mundo de las redes y servidores cortafuegos etc. gracias a la ayuda de un gran tecnico como lo es el amigo endcoronel y sus consejos e logrado muchos avances en tan poco tiempo pero al igual que muchos logra el exito en un determinado sistema necesita de estudio y tiempo dedicacion etc. ahora la red empieza a crecer y bueno hay que hacer los ajustes
1 la seguridad de la red, aun no coloco el portal cautivo por mi falta de experiencia y ayuda tecnica asi que opte por las opciones sencillas
2. modifique en traficc el modo de cola de la wan no conosco de bits ni de kbist eso me enreda asi que opte por % en su espesificacion, se asigno con el configurador que trae el mismo y esta predetermiando osea como queda despues del asistente solo modifique la wan en 95% a mi entender esa es el ancho de banda que toma de por si mejoro mucho en relacion a los 256 kb que tenia por defecto
3. quisiera saber detenidamente como asigno una navegacion por horarios ya que deseo que 10 o mas usuarios naveguen mientras mi cyber esta cerrado.o osea desde 8 de la noche a 8 de la mañana.
4. ley en las colas hermano bellera que usted a mano ajusto el traffic entiendo que eso esta en el manual y trabajo con los porcentajes directamente fue monitoreando y ajustando logicamente su red es mas grande que la mia pero mi duda es si debo respetar el 100 % osea 84 a 16%= en mi caso quedaron 25% a 25 % las cuatro opciones que trae en las quees
5. deseo saber como aceptar solamente las mac colocadas en dhcp leases y que ninguna otra mac al menos que estes autorizada se conecte todo lo maneje pfsense por mac y por ip. ya me dieron el soporte para eliminar el p2p pero como hago para permitir el p2p de ares lite en horas nocturnas cuando hay menor cantidad de usuarios ya que esta comenzando la red a crecer son dudas de humilde forista a lo mejor es larga mis preguntas pero las tenia acumuladas ya que comence a sacar la red por aire. sin mas que hacer referencia me despido de usted quedando a sus gratas ordenes en venezuela, muchas gracias por toda la ayuda prestada.hola al igual que tu yo tenia mis dudas yo trabajo en mi red de distribucion sip con 40 usuarios monte pfsense controlo las descargas de los p2p trabaja optimo mi portal cautivo con usuarios y demas monte el squid transparente y ahora voy por un vpn regule youtube y sus descargas tambien soy de venezuela lei todo tutorio de bellera al pelo y esta excelente ….. alli esta la soluvion a tus problemas
-
Bueno despues de estar varios dias renegando pude limitar el puerto 80, pero sin el wizzard ya que este me traia conflictos.
¿Por que? no se pero haciendo los mismos pasos con el wizard no me anda, una lastima.
Ahora la siguiente consulta es; Instale el paquete squid, y lo que quiero es que lo que este alojado en el cache se transfiera a velocidad lan, y los paquetes que no los haga obviamente a la velocidad marcada en con el puerto 80. ¿Que tendria que hacer?Y como lo hicistes amigo?? tengo el mismo problema