Limitador no funciona! (SOLUCIONADO)



  • Buenos días comunidad, he regresado con un error pero que no puede lograr hacer andar tras varias pruebas que he realizado, estoy intentado limitar todo un segmento de ip, el 192.168.0.0/24, mi configuracion, en la parte de alias cree paquetes de 10 ip, en la parte de traffic shaper // limiter cree 2 limitadores, uno de entrada y uno de salida a 1 mb cada uno, en las reglas firewall lan cree las reglas de arriba hacia abajo,

    Action  Interface  Version  Source    Destination                                                          In/Out
    Pass      lan          ipv4      any        single host/alias (1 paquete de 10 ip por regla)      1mb / 1mb

    se pueden dar cuenta si le estoy errando en algo?



  • Hola. Buenas… Me parece que tienes un error en la regla.. en la seccion de "source" deberias poner a la subred que quieres limitar.

    Saludos



  • si, pero para usar los alias que cree para sectorizar los 250 números de ip, se pone "single host/alias" o no estoy en lo correcto con eso?



  • Hola. Si tu idea es limitar los hosts que pertenecen a la subred /24 tendrias que difinirlos en el  "Source" ..y el destino seria "any". ..  De todas formas podrías anexar un esquema grafico de lo que quieres realizar ya que ayudará a comprender correctamente la situacion.

    Saludos



  • Explico la idea con fotos.
    en una foto se ven los alias, en la otra la regla para cada alias, en la otra los limitadores que están en las reglas seleccionados.
    Y voy a consultar algo tal ves muy básico que me esta surgiendo ahora, puede ser que en la parte de gateway de cada regla tenga que ponerle a por donde salir? esta en la ultima foto a lo que me refiero. dentro de 8 hs puedo modificar ese pf, por eso no estoy aplicándolo ahora. tendría que duplicar todas las reglas? una para cada wan? elimino la regla del failover en este caso planteado?














  • Hola. Te anexo por aqui unas reglas que te puedo asegurar que funcionan correctamente (Aliases con Limiters)




  • Me parece que confundes el Source con el Destination y el In/Out Pipe.

    Lo del FailOver es otra cuestion, intenta resolver un problema a la vez. .. ;)




  • Probando! te confirmo en un rato
    edito:
    ya los estuve testeando, las limitaciones funcionan hasta donde vi ok, el problema era como decia nuestro compañero, le estaba errando en el Source, poniendo yo los alias en el Destino.

    En este punto me genera otra inquietud, el limitador me esta tomando cada regla de la misma manera como única en conjunto, me explico mejor, en la gráfica LAN, se limito todo el trafico a 1mb, bien en parte, hace lo mismo como cuando limito la regla que me permite todo el trafico a 1 mb en la red.

    Explico mi idea nuevamente. Me gustaría que cada paquete que tengo en la parte de alias, 25 paquetes para ser especifico con 10 direcciones de ip, navegue individualmente a 1 mb por alias, en este momento navega toda la red a 1 mb.

    limitador entrada salida: in 1 mb // out 1 mb

    aporto: las 25 reglas están creadas de la misma manera lo que fui cambiando son los alias solamente. (foto)

    Idea: puede ser que tenga que crear una regla en el Traffic Shaper/Limiter para cada regla en el firewall/rules/Lan?
    Las reglas del failover están sin limitaciones.



  • Rebel Alliance

    Muestra cómo tienes los 2 "Limiters" ;)



  • Te dejo la configuración del limitador, esta igual la regla en entrada y salida




  • Hola. Entiendo que el limitador que dice "Entrada" es para limitar el "upload" y el que dice "Salida" es para limitar el "download" de cada ip… ¿?
    Siguiendo ese esquema deberias modificar lo siguiente ( tomando como referencia la imagen que aportaste):

    1º) UPLOAD:  Debes hacer click en la lista desplegable que dice "None" y seleccioar la opcion "Source". En el casillero que dice "Mask" debes escribir el numero 32.

    2º) DOWNLOAD:  Debes hacer click en la lista desplegable que dice "None" y seleccioar la opcion "Destination". En el casillero que dice "Mask" debes escribir el numero 32.

    Esto logrará que se cree un limitador por cada ip o host que tengas en el Aliases..  Para verificar tienes que ir a Diagnostics --> Limiter info.

    Saludos



  • Ea! buena ai, esta funcionando, hice esto ultimo que me pusiste y funciona aunque no con cada ip o host sino con el alias completo como paquete, explico abajo.

    He aqui una consulta de curioso, sobre el tema siempre.
    En este momento como están los alias con paquetes de 10 ip c/u, y la configuración de los limitadores establecidas como dijo shadow, y con limites de 1 mb. De esta manera el Alias, funciona a 1 Mb en conjunto. Oscea que el entre las 10 ip usan 1 Mb de coneccion si una pc me usa 512 las otras 9 disponen de 512 para navegar.

    Aquí me surge la duda. Yo tengo 25 reglas en el firewall creadas, y si me surgiese la necesidad de limitar todo el segmento para que cada maquina navegue a 1Mb por ej. Tendría que crear 254 reglas de firewall o hay una manera mas simple?



  • Buen dia, edite:
    Los limiter están de esta manera: salida = source
                                                      entrada=destination
                                                      Mask = 32
                                                      a 1Mb

    Alguien que me pueda dar una mano guiándome por que no quiere!!! :( ?
    lo que me falta resolver es lo siguiente.
    Si es necesario re configuro toda la parte de las rules, pero si des habilito esas reglas y limito las del failover me pone toda la red a 1mb y no ip por ip, ya lo probe :( arriba las reglas del failover, al principio del post están las fotos, esas no tienen limitadores en este momento.
    Yo tengo 25 reglas en el firewall creadas en conjunto de 25 alias con 10 n° de ip por alias, navega el conjunto con limite a 1 mb, si me surgiese la necesidad de limitar todo el segmento para que cada una de las maquinas navegue a 1Mb por ej. Tendría que crear 254 reglas de firewall o hay una manera mas simple?
    Les cuelgo como ha quedado la configuración, por mas que he puesto el /32 sigo con el problema de que no me separa el bloque como ip por ip, no lo logro hacer funcionar. y me parece aberrante que tengas que crear 254 reglas en el firewall para hacerlo andar maquina por maquina, tengo la idea de que alguien lo pensó para que sea mas sencillo aunque no lo sepa hacer.

    ![Captura de pantalla de 2017-08-24 08:58:48.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:48.jpg)
    ![Captura de pantalla de 2017-08-24 08:58:48.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:48.jpg_thumb)
    ![Captura de pantalla de 2017-08-24 08:58:45.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:45.jpg)
    ![Captura de pantalla de 2017-08-24 08:58:45.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:45.jpg_thumb)
    ![Captura de pantalla de 2017-08-24 08:58:35.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:35.jpg)
    ![Captura de pantalla de 2017-08-24 08:58:35.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:35.jpg_thumb)
    ![Captura de pantalla de 2017-08-24 08:58:23.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:23.jpg)
    ![Captura de pantalla de 2017-08-24 08:58:23.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:23.jpg_thumb)



  • Hola. Por lo expuesto sigues confundiendo algunas cosas. Te adjunto una imagen como deberia ser el limiter…

    • La version del Pfsense que utilizas tiene ese comportamiento cuando no configuras correctamente el limitador.

    • Para el problema de la cantidad de reglas simplemente debes aplicar el limitador (correctamente configurado) a la subred entera .. 192.168.0.1/24.

    Saludos




  • Esta es la configuración que tengo en el limitador, ahora replanteando cambiar a la nueva versión a ver si lo soluciono, el fin de semana lo estaré realizando, ni bien lo tenga lo publico, muchas gracias por la pronta respuesta.




  • Hola. Ok. Espero que lo resuelvas. Asi como lo tienes "no" es lo correcto, como estas limitando la descarga deberias tener seleccionado "destination adress".

    P.D: no es necesario que cambies la version del PF.

    Saludos



  • Bueno, deje de lado la versión vieja de pf y actualice a la 2.3.4. los limitadores sin complicación alguna salieron funcionando de la manera correcta, los aplique directamente como shadow explica y cada dirección de ip se limita a 1 mb. Aplique directamente en el firewall-rules en la regla que tengo del failover los pipe y ya me lo aplica a la red entera. ip x ip. desde ya mil gracias por el seguimiento y a los que cooperaron!