Limiter режет только в одну сторону



  • Всем привет!

    Имею шлюз на 2.3.2-RELEASE-p1 (amd64)

    Два провайдера, на двух физических интерфейсах, объединенные в gateway Group

    Пытаюсь резать скорость до одного конкретного IP в локальной сети по многочисленным мануалам от форумчан.

    Вроде все просто - завожу Alias на нужный IP, в Limiters делаю два правила:
    1.  Name 5mbit_s - BAndwidth 5 Mbit/s - Mask "Source addresses" - IPv4 mask 32
    2.  Name 5mbit_d - BAndwidth 5 Mbit/s - Mask "Destination addresses" - IPv4 mask 32

    галки Enable limiter стоят везде

    Далее Firewall - Rules - LAN делаю правило
    Action - pass, Interface - LAN, Protocol - TCP/UDP (пробовал сначала ANY), Source - Single Host or alias - MY_alias, Destination - any, In/Out pipe - 5Mbit_s, 5Mbit_d
    Save - Apply. Правило самое верхнее (выше только правило Anti-Lockout)

    Так вот - если на шлюзе включен SQUID в режиме Transparent, то на искомом IP перестают работать браузеры вообще - вываливаются с "Страница не найдена" и т.п.

    Если Transparent Mode отключить, а в настройках браузеров не прописан прокси, то есть браузер пошел в Интернет по NAT, то speedtest.net показывает, что скорость режется до заданной. Однако! По FTP и IPERF скорость выдает максимально возможную!

    Помогайте, пожалуйста! Я за день экспериментов и гугления уже не знаю, куда смотреть…
    Спасибо!

    Дополнение:

    Сейчас обнаружил проверкой Iperf режется трафик ОТ искомого ip в инет, в обратку - максимальная скорость канала



  • Доброе.
    Squid и лимитер не дружат.



  • @werter:

    Squid и лимитер не дружат.

    SQUID уже не участвует в цепочке. Скорость, однако, режется только на upload

    Кажется разобрался. Не режется входящий трафик с проброшенных портов.
    То есть в FW-NAT делаю правило проброса порта с внешнего интерфейса на искомый IP. Далее, инициируется соединение из вне на указанный порт WAN и генерируется входящий (для WAN) трафик. Вот он НЕ режется по скорости.

    Если кто знает, как подрезать скорость на проброшенном порту, пожалуйста, подскажите



  • А не пробовали применить Limiter в разрешающем правиле для проброса на WAN интерфейсе?



  • @PbIXTOP:

    А не пробовали применить Limiter в разрешающем правиле для проброса на WAN интерфейсе?

    Тут
    https://forum.pfsense.org/index.php?topic=99525.0
    жалуются на отсутствие трафика вообще при таком решении.