Dúvida na criação de filas HFSC (QoS) Pfsense 2.01
-
Bom dia pessoal!
Estou estudando e tentando aplicar o conhecimento adquirido criando as regras de QoS por HFSC de forma manual nas interfaces do nosso firewall,
já que devido a estrutura da nossa rede ser um pouco diferenciada o que acaba ficando complicado usar o "wizard" que o PFSense fornece.Possuo a interface WAN + DMZ configuradas em modo bridge, mas conforme pesquisas na internet devo especifica-las individualmente na hora de criar as regras de QoS ficando:
DMZ –-> WAN (upload) as regras são aplicadas na interface WAN
DMZ <--- WAN (download) as regras são aplicadas na interface DMZAgora o seguinte cenário;
Servidor Web na DMZ ---> 200.x.x.10
Servidor Email na DMZ ---> 200.x.x.11
Servidor DNS na DMZ ---> 200.x.x.11na prática...
preciso priorizar e garantir banda mínima para serviço de e-mail em qualquer direção IN/OUT destinadas ou partindo do servidor de email
preciso priorizar e garantir banda mínima para os acessos que serão realizados de fora da rede (internet) no servidor web.
preciso priorizar e garantir banda mínima para requisições externas ao servidor de DNS
preciso priorizar e garantir banda mínima para solicitações de ICMP em todos servidores citados que estão na DMZo pessoal da rede interna irá trafegar a velocidade normal ou seja não será aplicado estas regras pois trabalha numa rede giga-lan.
Criei as filas na interfaces WAN e DMZ de forma identica.... seguindo os conceitos deste bom "how-to" https://calomel.org/pf_hfsc.html
porém a dúvida minha dúvida é como aplicar as regras para filtrar as queues, percebi que no wizard o pfsense cria na aba "floating"
e no caso mais especifico pro exemplo das requisições HTTP no servidor web como devo criar esta regra tendo que quem inicia a conexão é o host exteno na internet mas o servidor web responde?
neste caso tenho que aplicar o filtro para a fila que prioriza o trafego HTTP nas duas interfaces ou só na WAN?espero que tenha deixado claro minha dúvida.
obrigado desde já.
att,
Paulo. -
Tente colocar as regras liberando o acesso lan -> dmz antes das regras que tem o Qos, mesmo que seja na aba floating
Outra coisa que pode ajudar é colocar no lugar de "any", o "not lan subnet"
-
teria a possibilidade de colocar estas regras de QoS aqui para analisar..