Прошу помощи с трафик шейпинг



  • Добрый день, коллеги.
    Развернул на предприятии pfSense для организации доступа в Интернет + спам фильтр (очень большой поток спама, решили бороться на границе сети).
    Уже пол года как работаем в тестовом режиме, полёт нормальный. Тестируют отряд отдела IT (10 человек) и пяток человек из других отделов.
    И есть подозрение, что всё-таки что-то не так я настроил в области traffic shaper, потому что бывает и пинги скачут, и вовсе не доходят пакеты если кто-то начинает качать.

    Имеем канал 20 МБит/сек. В Limiters сделал 2 очереди: Upload и Download по 19 МБит/сек.

    В правилах добавил Floating rule для LAN интерфейса, в которой указал соответствующие In / Out pipe.
    Сделал несколько очередей FAIRQ:

    
     altq on em1 fairq bandwidth 19000Kb queue {  qACK,  qDefault,  qRDP,  qTest  }
    queue qACK on em1 bandwidth 5% priority 7 fairq (  codel  )
    queue qDefault on em1 bandwidth 80% priority 2 fairq (  codel  , default  )
    queue qRDP on em1 bandwidth 10% priority 6 fairq (  codel  )
    queue qTest on em1 bandwidth 50Kb priority 3 fairq (  codel  )
    
     altq on em0 fairq bandwidth 19000Kb queue {  qACK,  qService,  qWebProxy,  qDefault,  qTorrents,  qRDP,  qTest  }
    queue qACK on em0 bandwidth 5% priority 7 fairq (  codel  )
    queue qService on em0 bandwidth 10% priority 6 fairq (  codel  )
    queue qWebProxy on em0 bandwidth 50% priority 4 fairq (  codel  )
    queue qDefault on em0 bandwidth 15% priority 2 fairq (  codel  , default  )
    queue qTorrents on em0 bandwidth 5% priority 1 fairq (  codel  )
    queue qRDP on em0 bandwidth 10% priority 5 fairq (  codel  )
    queue qTest on em0 bandwidth 50Kb priority 3 fairq (  codel  )
    

    Во floating rules добавил правила для веб трафика и RDP трафика на LAN и WAN интерфейсах в оба направления и указал для них соответствующие очереди (8080 - порт непрозрачного squid, 80 и 443 открыты для вай-фай точек доступа).
    В LAN rules добавил правила для 1 и 2 подсети, разрешающие выход по всем портам через default очередь, остальным подсетям - доступ открыт только на прокси.

    Покажите мне, пожалуйста, на мои ошибки, что можно изменить чтобы улучшить качество доступа в Интернет? Что я делаю не так? :)















  • Доброе.

    Имеем канал 20 МБит/сек. В Limiters сделал 2 очереди: Upload и Download по 19 МБит/сек.

    Стоп. Или Limiter или Shaper. Что-то одно. Удаляйте все, что наваяли, создавайте что-то одно https://forum.pfsense.org/index.php?topic=111231.0
    И не забудьте Reset states делать после создания правил.

    P.s. Сквид умеет и сам резать канал, кстати.



  • Поправьте меня если я не прав.
    Shaper реализует QoS расставляя приоритет различному трафику. Но он не умеет делать скорость между пользователями поровну. Соответственно, если один пользователь будет вытягивать большой файл на протяжении часа - все остальные пользователи могут курить.
    Limiter умеет ограничивать и делить скорость между пользователями. Но приоритезировать один трафик над другим не получится.



  • Доброе.
    Правы. Но исп-ть оба для одних и тех же ip не выйдет - работать будет только что-то одно. Для разных ip - вполне.

    P.s. Правила во флоатинг имеют приоритет перед правилами на интерфейсах.



  • @werter:

    P.s. Правила во флоатинг имеют приоритет перед правилами на интерфейсах.

    Не имеют они по умолчанию приоритета над интерфейсными — да в конфиге они оказываются выше, но pf использует последнее совпавшее правило, если только не указан параметр quick https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order



  • Доброе.
    2 PbIXTOP
    Скажем так, с опцией Match правила во флоатинг также будут обрабатываться первее правил на интерфейсах lan, wan. Обрабатываться, но не применяться (если не c quick).
    Так работают правила касательно шейпера, размещенные во флоатинг, напр.