Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Прошу помощи с трафик шейпинг

    Scheduled Pinned Locked Moved Russian
    6 Posts 3 Posters 938 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      poteh
      last edited by

      Добрый день, коллеги.
      Развернул на предприятии pfSense для организации доступа в Интернет + спам фильтр (очень большой поток спама, решили бороться на границе сети).
      Уже пол года как работаем в тестовом режиме, полёт нормальный. Тестируют отряд отдела IT (10 человек) и пяток человек из других отделов.
      И есть подозрение, что всё-таки что-то не так я настроил в области traffic shaper, потому что бывает и пинги скачут, и вовсе не доходят пакеты если кто-то начинает качать.

      Имеем канал 20 МБит/сек. В Limiters сделал 2 очереди: Upload и Download по 19 МБит/сек.

      В правилах добавил Floating rule для LAN интерфейса, в которой указал соответствующие In / Out pipe.
      Сделал несколько очередей FAIRQ:

      
       altq on em1 fairq bandwidth 19000Kb queue {  qACK,  qDefault,  qRDP,  qTest  }
      queue qACK on em1 bandwidth 5% priority 7 fairq (  codel  )
      queue qDefault on em1 bandwidth 80% priority 2 fairq (  codel  , default  )
      queue qRDP on em1 bandwidth 10% priority 6 fairq (  codel  )
      queue qTest on em1 bandwidth 50Kb priority 3 fairq (  codel  )
      
       altq on em0 fairq bandwidth 19000Kb queue {  qACK,  qService,  qWebProxy,  qDefault,  qTorrents,  qRDP,  qTest  }
      queue qACK on em0 bandwidth 5% priority 7 fairq (  codel  )
      queue qService on em0 bandwidth 10% priority 6 fairq (  codel  )
      queue qWebProxy on em0 bandwidth 50% priority 4 fairq (  codel  )
      queue qDefault on em0 bandwidth 15% priority 2 fairq (  codel  , default  )
      queue qTorrents on em0 bandwidth 5% priority 1 fairq (  codel  )
      queue qRDP on em0 bandwidth 10% priority 5 fairq (  codel  )
      queue qTest on em0 bandwidth 50Kb priority 3 fairq (  codel  )
      

      Во floating rules добавил правила для веб трафика и RDP трафика на LAN и WAN интерфейсах в оба направления и указал для них соответствующие очереди (8080 - порт непрозрачного squid, 80 и 443 открыты для вай-фай точек доступа).
      В LAN rules добавил правила для 1 и 2 подсети, разрешающие выход по всем портам через default очередь, остальным подсетям - доступ открыт только на прокси.

      Покажите мне, пожалуйста, на мои ошибки, что можно изменить чтобы улучшить качество доступа в Интернет? Что я делаю не так? :)
      Limiter_Upload.png
      Limiter_Upload.png_thumb
      Limiter_UploadLAN.png
      Limiter_UploadLAN.png_thumb
      Limiter_Download.png
      Limiter_Download.png_thumb
      Limiter_DownloadLAN.png
      Limiter_DownloadLAN.png_thumb
      FloatingRule_Limiter.png
      FloatingRule_Limiter.png_thumb
      FloatingRules_WebRDP.png
      FloatingRules_WebRDP.png_thumb
      LanRule.png
      LanRule.png_thumb

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.

        Имеем канал 20 МБит/сек. В Limiters сделал 2 очереди: Upload и Download по 19 МБит/сек.

        Стоп. Или Limiter или Shaper. Что-то одно. Удаляйте все, что наваяли, создавайте что-то одно https://forum.pfsense.org/index.php?topic=111231.0
        И не забудьте Reset states делать после создания правил.

        P.s. Сквид умеет и сам резать канал, кстати.

        1 Reply Last reply Reply Quote 0
        • P
          poteh
          last edited by

          Поправьте меня если я не прав.
          Shaper реализует QoS расставляя приоритет различному трафику. Но он не умеет делать скорость между пользователями поровну. Соответственно, если один пользователь будет вытягивать большой файл на протяжении часа - все остальные пользователи могут курить.
          Limiter умеет ограничивать и делить скорость между пользователями. Но приоритезировать один трафик над другим не получится.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Доброе.
            Правы. Но исп-ть оба для одних и тех же ip не выйдет - работать будет только что-то одно. Для разных ip - вполне.

            P.s. Правила во флоатинг имеют приоритет перед правилами на интерфейсах.

            1 Reply Last reply Reply Quote 0
            • P
              PbIXTOP
              last edited by

              @werter:

              P.s. Правила во флоатинг имеют приоритет перед правилами на интерфейсах.

              Не имеют они по умолчанию приоритета над интерфейсными — да в конфиге они оказываются выше, но pf использует последнее совпавшее правило, если только не указан параметр quick https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Доброе.
                2 PbIXTOP
                Скажем так, с опцией Match правила во флоатинг также будут обрабатываться первее правил на интерфейсах lan, wan. Обрабатываться, но не применяться (если не c quick).
                Так работают правила касательно шейпера, размещенные во флоатинг, напр.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.