Limiter не ограничивает один Ip

bill_open

werter, спасибо за подсказку насчет одного правило для всех, попробую проварьировать с битностью маски подсети в limiter. По поводу source на upload, я такой вариант пробовал на других объектах. минус в том, что не ограничивается торрент.
то есть, если использовать source mask для upload и destination mask для download, то ограничивается весь траффик, кроме торрент~~(у меня дежавю, я уже это объяснял кому то)~~
торрент траффик можно ограничить только destination mask для upload и destination mask для download.

жду мнения.

bill_open

Ребят, выложите кто нибудь действительно рабочий вариант limiter, что бы и торренты ограничивал, и https соединения тоже.
Эти варианты не предлагайте:
Вариант№1
limiter1
name:up
mask:source

limiter2
name:down
mask:destination

rule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:up/down

Этот вариант ограничивает весь трафик кроме торрент трафика

Вариант№2
limiter1
name:down
mask:destination

limiter2
name:down1
mask:destination

rule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:down/down1

Этот вариант ограничивает все, в том числе торрент, но ни может ограничить https трафик.

bill_open

Up

bill_open

Up

bill_open

РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

DasTieRR

@bill_open:

РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.

т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портов

как лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.

bill_open

@DasTieRR:

@bill_open:

РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.

т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портов

как лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.

Спасибо за ответ, но твоя реализация мне не подходит. Меня интересует ограничение для каждого ip с возможностью ограничения p2p и https трафика

DasTieRR

А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.

werter

Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

DasTieRR

@werter:

Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

Да, должен, я тоже удивился. Первая мысль была, что у него таблица fw повреждена и правило просто не применяется.
Надеюсь ТС напишет какой провести тест для https, я его повторю.

werter

Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.

bill_open

@DasTieRR:

А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.

через приложение yandex disk на выкачку в облако.
По state видно, что yandex disk использует только 443 порт для транспорта.

bill_open

@werter:

Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

речь идет не о L7. limiter не может ограничить одновременно торрент и https, по крайней мере у меня не получается это реализовать.

bill_open

@werter:

Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.

Если проведение вами тестов с yandex disk ничего не даст, то так и сделаю.
p.s. как и в предыдущем посте, yandex disk это одно из приложений которое можно проверить. так же не всегда правильно работает gateway в fw, к примеру, если запустить с сайта(забыл адрес ресурса, то ли ralink, или dlink или realtek, не помню…), то он дает скачку по 443 порту и fw не смотрит на указанный gw и пускает весь трафик по default gateway в системе.

DasTieRR

Результат моего теста такой
Во время теста ширина входящего канала была 5 мб.
Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.

На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.

В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).

Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
Лог fw почитайте, если есть проблема с ним, должен там что-то писать.

bill_open

Логи чисты. Хотел дополнить предыдущий свой пост, что на сайте интел скачка идет по 443, но видимо все в корне ни так. буду копать.

bill_open

@DasTieRR:

Результат моего теста такой
Во время теста ширина входящего канала была 5 мб.
Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.

На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.

В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).

Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
Лог fw почитайте, если есть проблема с ним, должен там что-то писать.

Cкинь мне пожалуйста в личку свои настройки лимитера и правила для них fw.

DasTieRR

Вот скриншоты правил

limiter1.jpg_thumb

limiter2.jpg_thumb

limiter3.jpg_thumb

FW1.jpg_thumb

fw2.jpg_thumb

werter

2 DasTieRR
Все же лучше правила лимитера во флоатинг рулез помещать, ИМХО.

bill_open

Спасибо DasTieRR.
Этот вариант, я описывал в этой теме или в предыдущей, так же я описал его минусы и плюсы, а именно:
минус
Этот вариант лимитера (mask none) нельзя применить для каждого клиента(ip) индивидуально. Если использовать такой лимитер в более чем одном правиле в fw(для более одного ip), то все эти ip будут между собой делить эту скорость.
плюс
Этот вариант лимитера отрабатывает как надо.

заключение
Данный вариант реализации ограничения скорости приемлем для самых простых схем.
Еще раз спасибо DasTieRR, но такой вариант я указывал как неприемлемый.