Прошу помощи с трафик шейпинг
-
Добрый день, коллеги.
Развернул на предприятии pfSense для организации доступа в Интернет + спам фильтр (очень большой поток спама, решили бороться на границе сети).
Уже пол года как работаем в тестовом режиме, полёт нормальный. Тестируют отряд отдела IT (10 человек) и пяток человек из других отделов.
И есть подозрение, что всё-таки что-то не так я настроил в области traffic shaper, потому что бывает и пинги скачут, и вовсе не доходят пакеты если кто-то начинает качать.Имеем канал 20 МБит/сек. В Limiters сделал 2 очереди: Upload и Download по 19 МБит/сек.
В правилах добавил Floating rule для LAN интерфейса, в которой указал соответствующие In / Out pipe.
Сделал несколько очередей FAIRQ:altq on em1 fairq bandwidth 19000Kb queue { qACK, qDefault, qRDP, qTest } queue qACK on em1 bandwidth 5% priority 7 fairq ( codel ) queue qDefault on em1 bandwidth 80% priority 2 fairq ( codel , default ) queue qRDP on em1 bandwidth 10% priority 6 fairq ( codel ) queue qTest on em1 bandwidth 50Kb priority 3 fairq ( codel ) altq on em0 fairq bandwidth 19000Kb queue { qACK, qService, qWebProxy, qDefault, qTorrents, qRDP, qTest } queue qACK on em0 bandwidth 5% priority 7 fairq ( codel ) queue qService on em0 bandwidth 10% priority 6 fairq ( codel ) queue qWebProxy on em0 bandwidth 50% priority 4 fairq ( codel ) queue qDefault on em0 bandwidth 15% priority 2 fairq ( codel , default ) queue qTorrents on em0 bandwidth 5% priority 1 fairq ( codel ) queue qRDP on em0 bandwidth 10% priority 5 fairq ( codel ) queue qTest on em0 bandwidth 50Kb priority 3 fairq ( codel )
Во floating rules добавил правила для веб трафика и RDP трафика на LAN и WAN интерфейсах в оба направления и указал для них соответствующие очереди (8080 - порт непрозрачного squid, 80 и 443 открыты для вай-фай точек доступа).
В LAN rules добавил правила для 1 и 2 подсети, разрешающие выход по всем портам через default очередь, остальным подсетям - доступ открыт только на прокси.Покажите мне, пожалуйста, на мои ошибки, что можно изменить чтобы улучшить качество доступа в Интернет? Что я делаю не так? :)
-
Доброе.
Имеем канал 20 МБит/сек. В Limiters сделал 2 очереди: Upload и Download по 19 МБит/сек.
Стоп. Или Limiter или Shaper. Что-то одно. Удаляйте все, что наваяли, создавайте что-то одно https://forum.pfsense.org/index.php?topic=111231.0
И не забудьте Reset states делать после создания правил.P.s. Сквид умеет и сам резать канал, кстати.
-
Поправьте меня если я не прав.
Shaper реализует QoS расставляя приоритет различному трафику. Но он не умеет делать скорость между пользователями поровну. Соответственно, если один пользователь будет вытягивать большой файл на протяжении часа - все остальные пользователи могут курить.
Limiter умеет ограничивать и делить скорость между пользователями. Но приоритезировать один трафик над другим не получится. -
Доброе.
Правы. Но исп-ть оба для одних и тех же ip не выйдет - работать будет только что-то одно. Для разных ip - вполне.P.s. Правила во флоатинг имеют приоритет перед правилами на интерфейсах.
-
P.s. Правила во флоатинг имеют приоритет перед правилами на интерфейсах.
Не имеют они по умолчанию приоритета над интерфейсными — да в конфиге они оказываются выше, но pf использует последнее совпавшее правило, если только не указан параметр quick https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
-
Доброе.
2 PbIXTOP
Скажем так, с опцией Match правила во флоатинг также будут обрабатываться первее правил на интерфейсах lan, wan. Обрабатываться, но не применяться (если не c quick).
Так работают правила касательно шейпера, размещенные во флоатинг, напр.