Limiter не ограничивает один Ip

bill_open

Да, такой вариант я в первых темах описывал, как возможный, но зачем? когда можно каждому прописать. И ребята, вопрос был совершенно ни тот который вы обсуждаете. Жду мнения!

bill_open

будут еще мнения?

DasTieRR

@bill_open:

будут еще мнения?

В лимитере в группе для up и для down поля совпадают "destination' указано, так задумано или в этом ошибка?
Я когда подобные вещи делал, то указывал в одном destination, а в другом source adress

bill_open

ПО ГЛАВНОЙ ТЕМЕ:
Определил, что limiter не умеет в моей реализации ограничивать https потоки.(нашел того, кто выкачивает сверх лимита, оказалось, что у него по https идет трафик, затем тестово на выборочной машине с модулировал аналогичную ситуацию, оказалось, что моя конфигурация не ограничивает https)

@DasTieRR:

@bill_open:

будут еще мнения?

В лимитере в группе для up и для down поля совпадают "destination' указано, так задумано или в этом ошибка?
Я когда подобные вещи делал, то указывал в одном destination, а в другом source adress

В ПРОДОЛЖЕНИЕ и КАК ОТВЕТ НА ВАШ ПОСТ:
когда выбираешь source, limiter перестает ограничивать torrent.
Более того, есть статья где парень описывает как ограничить все и всех(почти как вы и говорите).
http://aubreykloppers.wordpress.com/2013/02/07/pfsense-per-ip-traffic-shaping/
эта статья помогла мне решить проблему по ограничению https трафика, но в такой реализации торрент трафик не ограничивается.

Тоесть по статье делаем на каждый ip по 2 правила и еще одно как у меня, тогда будет счастье. Такая конфигурация пугает, жду мнения.

ghoser

layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!

werter

Ваша идея с созданием для каждого из 500 хостов отдельной "трубы" - бред.
Limiter умеет ограничивать\делить скорость либо ДИНАМИЧЕСКИ НА ВСЕХ, либо жестко НА КАЖДЫЙ.

И ему все равно какой трафик шейпить\лимитировать . В зависимости от написанных правил fw, конечно.

P.s. Здесь человек режет канал на всех поровну - http://www.gridstorm.net/pfsense-traffic-limiting-fair-share/ двумя пайпами.
А здесь - каждому IP свою трубу - http://stackoverflow.com/questions/14324115/pfsense-limit-traffic-per-ip-inside-a-subnet :

If I understand you correctly, yes you can. Very easy steps I might add.

Under Firewall>Traffic Shaper>Limiter, create a new limiters with a mask of "Destination" for download,and "Source" for upload.

Now create a Firewall Rule and under the Advanced Features> In/Out, specify the limiters you created. This will create a limiter per IP.

Вот еще на каждый адрес явно - https://forum.pfsense.org/index.php?topic=53790.0 :

I'm pretty sure what you're wanting to do is covered with the use of Limiter Masks.  This will be similar to what awesomo said (and partly copied from it)

Go to the Firewall>>>Traffic Shaper option

Create a new limiter, make sure Enable is checked, name it "500dest", set bandwidth to 500Kbit/s, set mask to destination. Save it.

Create another limiter, make sure Enable is checked, name it "500src", set bandwidth to 500Kbit/s, set mask to source. Save it.

Make sure to apply changes.

Create an alias with all the ip's you want in Firewall>>> Aliases

Name it, save it.

Apply changes.

Go to firewall>>>Rules>>>LAN

Create a new rule. Protocol type ANY, Set the alias as the source, scroll down click advanced next to in/out, set the first to 500src, the second to 500dest.
Make sure your new rule is higher than any default allow out.

Apply changes and test it out.

Alternatively you could edit the LAN default allow out and add the In/Out option there and it would apply to every host on the LAN individually (each host individually limited to 500Kbps/500Kbps)..

P.p.s. У вас в настройках правил floating rules в direction указан явно in - зачем? И зачем Apply immediately ? Вы не будете далее рисовать правила (на LAN) для этих адресов, т.е. что-то запрещать или разрешать ?

Сдается мне, что Вы сами себя перехитрили в настройках. И не забывайте делать Reset states!

bill_open

@ghoser:

layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!

Замечание правильное. Обсуждалось ранее, вариант не приемлем.

bill_open

werter, спасибо за подсказку насчет одного правило для всех, попробую проварьировать с битностью маски подсети в limiter. По поводу source на upload, я такой вариант пробовал на других объектах. минус в том, что не ограничивается торрент.
то есть, если использовать source mask для upload и destination mask для download, то ограничивается весь траффик, кроме торрент~~(у меня дежавю, я уже это объяснял кому то)~~
торрент траффик можно ограничить только destination mask для upload и destination mask для download.

жду мнения.

bill_open

Ребят, выложите кто нибудь действительно рабочий вариант limiter, что бы и торренты ограничивал, и https соединения тоже.
Эти варианты не предлагайте:
Вариант№1
limiter1
name:up
mask:source

limiter2
name:down
mask:destination

rule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:up/down

Этот вариант ограничивает весь трафик кроме торрент трафика

Вариант№2
limiter1
name:down
mask:destination

limiter2
name:down1
mask:destination

rule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:down/down1

Этот вариант ограничивает все, в том числе торрент, но ни может ограничить https трафик.

bill_open

Up

bill_open

Up

bill_open

РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

DasTieRR

@bill_open:

РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.

т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портов

как лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.

bill_open

@DasTieRR:

@bill_open:

РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.

т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портов

как лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.

Спасибо за ответ, но твоя реализация мне не подходит. Меня интересует ограничение для каждого ip с возможностью ограничения p2p и https трафика

DasTieRR

А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.

werter

Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

DasTieRR

@werter:

Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

Да, должен, я тоже удивился. Первая мысль была, что у него таблица fw повреждена и правило просто не применяется.
Надеюсь ТС напишет какой провести тест для https, я его повторю.

werter

Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.

bill_open

@DasTieRR:

А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.

через приложение yandex disk на выкачку в облако.
По state видно, что yandex disk использует только 443 порт для транспорта.

bill_open

@werter:

Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

речь идет не о L7. limiter не может ограничить одновременно торрент и https, по крайней мере у меня не получается это реализовать.