Restringiendo grupos de Ip - Ancho de Banda



  • Hola foro y feliz año nuevo a todos , quiero despejar toda duda o error que pueda estar comentiendo , tengo un grupo de ip de los cuales navegan libre no pasan por el proxy , tengo una regla en el firewall donde esos ip los deja pasar a todo , pero ahora quiero agregar un limiter de bajada y subida para ellos , que no puedan navegar a mas de 2MB en ambos sentidos , aplico esos limiter a esa regla pero no me esta funcionando , cuando hago un test me presenta la velocidad total de mi proveedor , adjunto capturas para ver donde estoy fallando.
















  • nadie x aqui  :(



  • Saludos.

    Porfa, manda el cuadro completo de las reglas del firewall.

    Que salgan completas las reglas, hasta el final.

    Saludos.



  • @j.sejo1:

    Saludos.

    Porfa, manda el cuadro completo de las reglas del firewall.

    Que salgan completas las reglas, hasta el final.

    Saludos.

    Ok , aqui lo añado




  • Extraño , si cambio en la regla del firewall y pongo protocols Any y en destination any , sin especificar los puertos que antes tenia (80,443) , y reviso en Diagnostic/Limiterinfo  veo  que lo aplica al ip al cual quiero asiganarle el bandwidth  , pero si hago la prueba en speedtest me muestra el total de mi ancho de banda y no los 4MB que quiero aplicar.

    ![Captura de pantalla 2017-01-07 a las 7.18.42 PM.png](/public/imported_attachments/1/Captura de pantalla 2017-01-07 a las 7.18.42 PM.png)
    ![Captura de pantalla 2017-01-07 a las 7.18.42 PM.png_thumb](/public/imported_attachments/1/Captura de pantalla 2017-01-07 a las 7.18.42 PM.png_thumb)


  • Rebel Alliance

    Recuerda que PFsense utiliza el orden de las reglas para darle prioridad, por lo que tus reglas limiter tienen que esta antes que la regla default segun el orden jerarquico.



  • Estimado he revisado varias guias y foros,  y encuentro que todos lo aplican asi, pero con la salvedad que a mi no me funciona , ahorita he creado una regla floating  y al parecer esta trabajando , pero lo tengo en pruebas todavia.



  • saludos mi estimado,

    tutorial algo antiguo pero vigente en el tiempo.

    Las reglas deben ser aplicadas tomando en cuenta el orden de las misma, si le das un caudal mayor a un cliente en una regla anterior jamas llegara al caudal regulado….

    Si usas proxy en tu red para servir a clientes las reglas son diferentes...

    Quedo atento a sus comentarios



  • @amnarl:

    saludos mi estimado,

    tutorial algo antiguo pero vigente en el tiempo.

    Las reglas deben ser aplicadas tomando en cuenta el orden de las misma, si le das un caudal mayor a un cliente en una regla anterior jamas llegara al caudal regulado….

    Si usas proxy en tu red para servir a clientes las reglas son diferentes...

    Quedo atento a sus comentarios

    la regla que aplicaba al bandwidht esta de ultima , osea despues de la del proxy , asi que no crea que ese fuera el problema.



  • rickygm

    Quien hace de proxy????

    Como indique todo cambia al usar proxy aplicando reglas de control de ancho de banda….. Es mas el escenario es diferente !!!

    Usted esta totalmente seguro que esos clientes del aliases con control de velocidad no esta navegando via proxy?? Seguno noto esta usando WPAD aparecen ellos excluidos en el proxy??

    son tantas las interrogantes para que esto sea efectivo .... todo esto lo digo por que segun sus reglas esos clientes pueden acceder al proxy es decir en pfsense no estan limitados para hacerlo... y sobre todo lo pueden hacer a la velocidad maxima de su conexion a internet... adicionalmente si el proxy no esta limitado en velocidad por que alli no aparece al final estos accediendo a su proxy pueden navegar a full velocidad...

    Por ello le digo con base todo cambia al usar proxy y hay que plantearse bien el escenario para hacer efectivos los controles



  • @amnarl:

    rickygm

    Quien hace de proxy????

    Como indique todo cambia al usar proxy aplicando reglas de control de ancho de banda….. Es mas el escenario es diferente !!!

    Usted esta totalmente seguro que esos clientes del aliases con control de velocidad no esta navegando via proxy?? Seguno noto esta usando WPAD aparecen ellos excluidos en el proxy??

    son tantas las interrogantes para que esto sea efectivo .... todo esto lo digo por que segun sus reglas esos clientes pueden acceder al proxy es decir en pfsense no estan limitados para hacerlo... y sobre todo lo pueden hacer a la velocidad maxima de su conexion a internet... adicionalmente si el proxy no esta limitado en velocidad por que alli no aparece al final estos accediendo a su proxy pueden navegar a full velocidad...

    Por ello le digo con base todo cambia al usar proxy y hay que plantearse bien el escenario para hacer efectivos los controles

    El mismo pfSense hace de proxy , lo tengo con wpad , y las personas a las que les estoy aplicando el bandwidth en 4Mb no estan saliendo por el proxy a ellos les estoy haciendo bypass , ahora arrojame luz como lo haría para con proxy?

    dejame sacar unos screen shot como estoy haciendo  la regla floating .



  • Ok excelente mi estimado ahora si esta mas claro el panorama….

    Yo te recomendaria realizar una regla de acceso de dichos clientes con destino pfsense por el puerto que usas para el proxy y es alli donde vas a regular el ancho de banda con el cual dichos clientes se van a comunicar con internet..... Recuerda que ellos salen a internet a traves del proxy no directos por ello tu regla no les hace nada...... El inconveniente que vas a tener es que el trafico https no pasa por proxy a menos que estes usando proxy ssl....

    Por lo que debes agregar una regla del trafico https si va directo y aplicarle el limiter tambien.....

    Cualquier duda o inconveniente estoy a la orden



  • @amnarl:

    Ok excelente mi estimado ahora si esta mas claro el panorama….

    Yo te recomendaria realizar una regla de acceso de dichos clientes con destino pfsense por el puerto que usas para el proxy y es alli donde vas a regular el ancho de banda con el cual dichos clientes se van a comunicar con internet..... Recuerda que ellos salen a internet a traves del proxy no directos por ello tu regla no les hace nada...... El inconveniente que vas a tener es que el trafico https no pasa por proxy a menos que estes usando proxy ssl....

    Por lo que debes agregar una regla del trafico https si va directo y aplicarle el limiter tambien.....

    Cualquier duda o inconveniente estoy a la orden

    ok voy entendiendo , hagamos un desmenuzado ,  me recomiendas hacer un par de reglas que fuercen a estos ip a pasar por el proxy y ahi aplicar el limiter , pero este par de reglas tendrian que ir de la regla general del proxy para toda la red?

    con lo del https para la segunda regla no estoy usando proxy ssl , y aqui se me ocurre hacer algo asi:

    Source ip_ancho_de_banda_restringido port 443 con destination pfsense y port 3128

    corregirme si las dudas..


Log in to reply