Como limitar tráfego por Host
-
Bom dia, Galera
Tenho um problema hoje na empresa e gostaria de saber se vocês conseguem me ajudar na solução do mesmo?
O problema é o seguinte: tenho um link de 50MB como link principal, esse link é utilizado em média por 250 colaboradores. Porém 1 colaborador é capaz de estrangular o link inteiro fazendo downloads utilizando o protocolo HTTPS.
Para administrar as conexões HTTP estou utilizando o Squid com proxy transparente, configurei o campo Per-Host Throttling com o valor de 1024, com isso limito a 1Mb as conexões HTTP por Host.
Sei que o squid já é capaz de interceptar conexões HTTPS, porém as camadas acima de mim é relutante em ativar esse recurso por conta do "Man in the middle". Esse é um assunto para outra hora.
Gostaria de saber se existe alguma feature no pfSense que consigo limitar as conexões HTTPS sem utilizar o Squid?
Pensei em N formas para resolver:
-Traffic Shaper
-Criar regras 1 pra 1 com limitter no valor desejado, porém se torna inviavel a criação de 250 regras, e cada colaborador que entrar adicionar uma nova regra e associar com o limiter. Não sei como o firewall vai se comportar para ler essa quantidade de regras.Por conta desse problema estou recorrendo a vocês, alguém já passou por esse problema e conseguiu resolver?
-
@murilocamargo Humm.. o que vc pode fazer é criar Aliases, provavelmente vc deve ter muitos usuários que usa a mesma velocidade de link.
Infelizmente é a forma mais prática. -
Até a criação do Aliases tudo bem, após a criação desse Aliases o que devo fazer, aplicar Limiter sobre esse Aliases?
-
Fácil de resolver com o limiter. Crie um limiter de entrada outro de saida, aplique na configuração dele a máscara source address e em seguida aplique nas regras de firewall da lan que quiser.
Essa configuração só não vale para as portas que estiver fazendo Proxy transparente.
-
Consegui realizar da forma que você orientou, criei um Limiter para entrada e saída, alterei a mácara default /32 para a máscara da minha interface Lan, pois se eu deixa-se a mácara default a largura de banda configurada esta sendo dividida pelo os hosts. Para poder dedicar a largura de banda por host alterei a máscara default para a máscara da minha interface Lan.
Em seguida criei uma regra na minha interface Lan e adicionei os Limiter na regra, validei os downloads em dois hosts simultâneos e funcionou exatamente como eu queria.
Agradeço a ajuda de vocês: @andrezaomac e @marcelloc
Valeu!!! -
/32 que nesse caso vai significar limitar por host.
-
@marcelloc
No meu caso /32 ele esta dividindo a banda configurada e não limitando por host, após altera para a máscara da minha interface Lan e começou a limitar por host.