Ограничение скорости для IP адреса/группы а&#
-
Доброго дня!
Не получается порезать скорость для одного IP из локалки.
Настроил в Firewall: Traffic Shaper: Limiter лимитеры для SL для 'source' и DL для 'destination' с ограничением 1 Kbit/s в поле Bandswidth и битом 32 в поле Mask.
Создал в Firewall: Rules: Lan правило для lan интерфейса c ip адресом, для которого надо порезать скорость в Source, в Destination указал Any, в in/Out выбрал SL/DL.
Сохранил, применил изменения, перезагрузил правила. В итоге скорость не режется. Может на это влиять как-то влиять то, что есть другие правила, под которые попадает этот IP адрес, но in/Out там не настроен.
-
Настроил в Firewall: Traffic Shaper: Limiter лимитеры для SL для 'source' и DL для 'destination' с ограничением 1 Kbit/s в поле Bandswidth и битом 32 в поле Mask.
Маску не трогайте.
Задача какая ? Динамически нарезать ? Тогда вообще не надо ничего выбирать - ни сурс, ни дестинейшн.
-
Задача организовать шейпирование для ip/группа ip. Просто есть пользователи, которым по политическим причинам нельзя настучать по рукам, но вполне можно порезать резать скорость на уровне шлюза.
В линуксе я это делал по средством tc и iptables, но на новой работе корпоративный стандарт pfSense, и не выходит каменный цветок. -
Может на это влиять как-то влиять то, что есть другие правила, под которые попадает этот IP адрес, но in/Out там не настроен.
Так и есть, скорее всего. Самое верхнее подходящее правило будет срабатывать.
Вот цитата из мануала:
В pfSense, как и в большинстве брандмауеров, наборы правил оцениваютя по принципу первого совпадения, что означает если Вы читаете список правил сверху-вниз - выполняться будет только первое правило удовлетворяющее условию. После достижения соответствия и выполнения действия требуемого правилом обработка останавливается. Об этом следует помнить всегда при создании нового набора правил, особенно если эти правила касаются ограничения трафика. Разрешающие правила должны быть расположены в нижней части набора, это позволит произвести исключения на ранних стадих фильтрации.Создайте алиас, в который будете помещать пользователей. А в правиле уже укажите этот алиас вместо прямого ip.
-
Так и есть, скорее всего. Самое верхнее подходящее правило будет срабатывать.
Вот цитата из мануала:
В pfSense, как и в большинстве брандмауеров, наборы правил оцениваютя по принципу первого совпадения, что означает если Вы читаете список правил сверху-вниз - выполняться будет только первое правило удовлетворяющее условию. После достижения соответствия и выполнения действия требуемого правилом обработка останавливается. Об этом следует помнить всегда при создании нового набора правил, особенно если эти правила касаются ограничения трафика. Разрешающие правила должны быть расположены в нижней части набора, это позволит произвести исключения на ранних стадих фильтрации.Создайте алиас, в который будете помещать пользователей. А в правиле уже укажите этот алиас вместо прямого ip.
Вообще-то в pf применяется не первое, а последнее правило или даже совокупность правил. Просто для интерфейсных правил pfSense выставляется параметр quick, который и заставляет файрвол прекратить остальные проверки.
-
Создал алиас, указал его в правиле, проверил, что правило в самом низу списка Firewall: Rules:LAN. Все остальное, как в первом посте. Перезагрузил фильтры. Скорость не режется.
-
Создал алиас, указал его в правиле, проверил, что правило в самом низу списка Firewall: Rules:LAN. Все остальное, как в первом посте. Перезагрузил фильтры. Скорость не режется.
А если все же поместить это правило выше (условно - самым первым)?
-
Да, все же PFSense читает правила с верху в низ(или просто выводит в веб морде более приоритетные выше?). На будущее учту.
Все заработало. -
Они показываются в порядке, установленном вами.
Выполняются - сверху вниз.