Como limitar tráfego por Host



  • Bom dia, Galera

    Tenho um problema hoje na empresa e gostaria de saber se vocês conseguem me ajudar na solução do mesmo?

    O problema é o seguinte: tenho um link de 50MB como link principal, esse link é utilizado em média por 250 colaboradores. Porém 1 colaborador é capaz de estrangular o link inteiro fazendo downloads utilizando o protocolo HTTPS.

    Para administrar as conexões HTTP estou utilizando o Squid com proxy transparente, configurei o campo Per-Host Throttling com o valor de 1024, com isso limito a 1Mb as conexões HTTP por Host.

    Sei que o squid já é capaz de interceptar conexões HTTPS, porém as camadas acima de mim é relutante em ativar esse recurso por conta do "Man in the middle". Esse é um assunto para outra hora.

    Gostaria de saber se existe alguma feature no pfSense que consigo limitar as conexões HTTPS sem utilizar o Squid?

    Pensei em N formas para resolver:
    -Traffic Shaper
    -Criar regras 1 pra 1 com limitter no valor desejado, porém se torna inviavel a criação de 250 regras, e cada colaborador que entrar adicionar uma nova regra e associar com o limiter. Não sei como o firewall vai se comportar para ler essa quantidade de regras.

    Por conta desse problema estou recorrendo a vocês, alguém já passou por esse problema e conseguiu resolver?



  • @murilocamargo Humm.. o que vc pode fazer é criar Aliases, provavelmente vc deve ter muitos usuários que usa a mesma velocidade de link.
    Infelizmente é a forma mais prática.



  • @andrezaomac

    Até a criação do Aliases tudo bem, após a criação desse Aliases o que devo fazer, aplicar Limiter sobre esse Aliases?



  • Fácil de resolver com o limiter. Crie um limiter de entrada outro de saida, aplique na configuração dele a máscara source address e em seguida aplique nas regras de firewall da lan que quiser.

    Essa configuração só não vale para as portas que estiver fazendo Proxy transparente.



  • @marcelloc

    Consegui realizar da forma que você orientou, criei um Limiter para entrada e saída, alterei a mácara default /32 para a máscara da minha interface Lan, pois se eu deixa-se a mácara default a largura de banda configurada esta sendo dividida pelo os hosts. Para poder dedicar a largura de banda por host alterei a máscara default para a máscara da minha interface Lan.
    Em seguida criei uma regra na minha interface Lan e adicionei os Limiter na regra, validei os downloads em dois hosts simultâneos e funcionou exatamente como eu queria.
    Agradeço a ajuda de vocês: @andrezaomac e @marcelloc
    Valeu!!!



  • /32 que nesse caso vai significar limitar por host.



  • @marcelloc
    No meu caso /32 ele esta dividindo a banda configurada e não limitando por host, após altera para a máscara da minha interface Lan e começou a limitar por host.