Limiter не ограничивает один Ip
-
layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!
Замечание правильное. Обсуждалось ранее, вариант не приемлем.
-
werter, спасибо за подсказку насчет одного правило для всех, попробую проварьировать с битностью маски подсети в limiter. По поводу source на upload, я такой вариант пробовал на других объектах. минус в том, что не ограничивается торрент.
то есть, если использовать source mask для upload и destination mask для download, то ограничивается весь траффик, кроме торрент~~(у меня дежавю, я уже это объяснял кому то)~~
торрент траффик можно ограничить только destination mask для upload и destination mask для download.жду мнения.
-
Ребят, выложите кто нибудь действительно рабочий вариант limiter, что бы и торренты ограничивал, и https соединения тоже.
Эти варианты не предлагайте:
Вариант№1
limiter1
name:up
mask:sourcelimiter2
name:down
mask:destinationrule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:up/downЭтот вариант ограничивает весь трафик кроме торрент трафика
Вариант№2
limiter1
name:down
mask:destinationlimiter2
name:down1
mask:destinationrule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:down/down1Этот вариант ограничивает все, в том числе торрент, но ни может ограничить https трафик.
-
Up
-
Up
-
РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.
-
РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.
Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.
т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портовкак лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.
-
РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.
Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.
т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портовкак лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.
Спасибо за ответ, но твоя реализация мне не подходит. Меня интересует ограничение для каждого ip с возможностью ограничения p2p и https трафика
-
А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.
-
Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?
-
Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?
Да, должен, я тоже удивился. Первая мысль была, что у него таблица fw повреждена и правило просто не применяется.
Надеюсь ТС напишет какой провести тест для https, я его повторю. -
Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера. -
А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.
через приложение yandex disk на выкачку в облако.
По state видно, что yandex disk использует только 443 порт для транспорта. -
Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?
речь идет не о L7. limiter не может ограничить одновременно торрент и https, по крайней мере у меня не получается это реализовать.
-
Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.Если проведение вами тестов с yandex disk ничего не даст, то так и сделаю.
p.s. как и в предыдущем посте, yandex disk это одно из приложений которое можно проверить. так же не всегда правильно работает gateway в fw, к примеру, если запустить с сайта(забыл адрес ресурса, то ли ralink, или dlink или realtek, не помню…), то он дает скачку по 443 порту и fw не смотрит на указанный gw и пускает весь трафик по default gateway в системе. -
Результат моего теста такой
Во время теста ширина входящего канала была 5 мб.
Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.
В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).
Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
Лог fw почитайте, если есть проблема с ним, должен там что-то писать. -
Логи чисты. Хотел дополнить предыдущий свой пост, что на сайте интел скачка идет по 443, но видимо все в корне ни так. буду копать.
-
Результат моего теста такой
Во время теста ширина входящего канала была 5 мб.
Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.
В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).
Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
Лог fw почитайте, если есть проблема с ним, должен там что-то писать.Cкинь мне пожалуйста в личку свои настройки лимитера и правила для них fw.
-
Вот скриншоты правил
-
2 DasTieRR
Все же лучше правила лимитера во флоатинг рулез помещать, ИМХО.