Ограничить скорость на определенные сети


  • Есть машина с PfSense (на виртуалке) 1Wan+1Lan с Squid+SquidLight+SquidGuard. Squid настроен без авторизации, SquidGuard блокирует все, юзеры в группах с доступом в интернет. В фаерволе через Алиасы созданы группы отделов, режется на них скорость до 10 мегабит/с на все пк в группе.
    Вопрос: можно ли настроить шейпер так чтобы он резал скорость во весь интернет до 10 мегабит, но на внутренние сети провайдера (указывая их в правиле или алиасе в виде 149.154.160.0/20) чтобы скорость резалась до 50 мегабит на группу?


  • Дело в том, что если используется Squid, то шейпер/лимитер не будут видеть с каких именной IP адресов идёт трафик к клиентам.
    Ведь вообще можно сделать два правила файрвола, то что выше вида 'src 149.154.160.0/20 to LAN net, 50Mbit limiter' и ниже вроде 'src any to LAN net, 10Mbit limiter' (вместо any лучше сделать 'не RFC1918 alias').
    Но для этого нужно убрать Squid.
    Для чего тот используется?
    Если для фильтрации ненужных сайтов, то лучше использовать pfBlockerNG-devel


  • @viktor_g Спасибо за ответ, попробую pfBlockerNG-devel заменить squid. Squid используется для блокировки ютуба и соц сетей


  • @Do_omsDay можно заблокировать по категориям через Firewall / pfBlockerNG / DNSBL / DNSBL Category,
    а можно заблокировать только неприличный контент на ютюбе через DNSBL SafeSearch

    Ещё и различные malware домены/ip можно заблокировать через соответствующие feeds

    p.s. главное ставьте именно pfblockerng-devel версию, обычная по сути не поддерживается разработчиком


  • Добрый
    @Do_omsDay
    Есть еще альтернатива Pfblocker-у.
    Это pi-hole или AdGuard Home https://github.com/AdguardTeam/AdguardHome
    Последний можно развернуть прямо на пф https://broadbandforum.co/t/205884/
    Попробуйте.

    Зы. AdGuard Home vs Pi-Hole https://github.com/AdguardTeam/AdguardHome#comparison-pi-hole


  • @viktor_g said in Ограничить скорость на определенные сети:

    Если для фильтрации ненужных сайтов, то лучше использовать pfBlockerNG-devel

    Если использовать pfBlockerNG-devel - Lightsquid я так понимаю работать не будет?


  • @randreevich В pfBlockerNG можно только смотреть статистику заблокированных доменов/IP и отчёты по DNS запросам.