Control de Ancho de Band por IPs

acriollo

Hola Amigos del foro, despues de haber realizado ya algo de investigacion en el foro de ingles sobre como limitar el ancho de banda por IP creo que he quedado un poco mas confundido.

Con Linux lo he hecho con Iptables y HTC pero con PFSense estoy basicamente perdido. Y en el foro hay muchas leyendas urbanas sobre qe si jala o no en el 2.0

He visto algunos ejemplos y la documentacion del wiki pero no he podido controlar el bw para una ip en especifico.

Lo que requiero es basicamente colocarle un limite de consumo de por ejemplo 512/256 para una ip en especifico.

Actualmente he hecho lo siguiente :

Crear los limitters en la parte de Traffic Shaper-> Limiter con la opcion de mascara por destino/origen
Crear las reglas del lado de la LAN para una IP en especifico , en la parte de Firewall-Rules-LAN y especificando los pipes en la seccion in/out.

No he tenido buenos resultados, alguien podria decirme si ha tenido exito con esta configuracion ?

Saludos

acriollo

ptt

Si solo te interesa limitar, tienes que utilizar "Limiters" ( busca en la seccion en ingles, hay bastante info ).

Saludos

excelwifi

por lo que veo tienes la version 1.2 yo te recomeindo que te pases a la 2.0 rc 3 es mucho mas facil y yo particularmente lo he probado con 16 host y 3 tipos diferentes de velocidades y funciona de maravilla.

la aplicacion esta en la parte del portal cautivo, lo activas y cuando vas agregar los usuarion en la parte depast trought Ip o MAc (cualquiera de los dos) fijas la velocidad por ip o por MAc. este para mi es uno de los cambios de la 2.0 que mas me ha favorecido y funciona muy bien.

acriollo

Hola Alguien tiene un par de pantallas de como quedan las reglas en el firewall y en la definicion de los limiters ?

Saludos y gracias de antemano

acriollo

Hola , pude probar con las opciones del limiter y funciona muy bien aparentemente , ahora a probar con mas usuarios!!

Saludos

RUALBERT

Hola amigo Buen dia. dime para configurar la opcion Limiter,necesariamente tengo q tener activado el traficc shaper o solo puedo usarlo independientemente sin tener activadop el traffc shaper..?.y la opcion donde dice : "Mask" stan 3 opciones : none , source address y destination address,cual de ellas uso para limitar auna ip en specifico. Desde ya muchisimas gracias x tus consejos.Saludos.

acriollo

Hola Antonhy . lo puedes usar de manera independiente . solamente con los limiters.
Para ello debes de utilizar un limiter para bajada y otro para subida con la opcion de source address.

Saludos

RUALBERT

Gracias men.lo pondre a prueba .oye x siacaso tienes alguna implementacion para cachear videos,ya q sta de moda para las personas q comparten internet.Saludos.

excelwifi

Amigos

los felicitos el tema esta muy bueno, sobre todo para nosotros los que tenemos redes wifi, por los momentot yo usaba en portal solo para controlar velocodad (el cual lo hace muy bien)

pueden por favor para porder aprender mas como seria con limiters o usar el TS direstamente!

si algo es cierto es que hay mucha informacion en la red de como usar el TS pero tambien mucha que no se entiende, este es un tema que simpre queda con duda, por favor si pueden colocar algunas paltallas para la comunidad seria bueno….

muchas gracias por adelantado

acriollo

Hola , les envio unas pantallas de como queda la regla para una IP o sub red o red complete

acriollo

Las pantallas :)

![Captura de pantalla 2011-09-26 a las 09.27.53.png](/public/imported_attachments/1/Captura de pantalla 2011-09-26 a las 09.27.53.png)
![Captura de pantalla 2011-09-26 a las 09.27.53.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-09-26 a las 09.27.53.png_thumb)
![Captura de pantalla 2011-10-04 a las 18.50.16.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.16.png)
![Captura de pantalla 2011-10-04 a las 18.50.16.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.16.png_thumb)
![Captura de pantalla 2011-10-04 a las 18.50.53.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.53.png)
![Captura de pantalla 2011-10-04 a las 18.50.53.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.53.png_thumb)

acriollo

Mas pantallas

![Captura de pantalla 2011-10-04 a las 18.51.04.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.04.png)
![Captura de pantalla 2011-10-04 a las 18.51.04.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.04.png_thumb)
![Captura de pantalla 2011-10-04 a las 18.51.42.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.42.png)
![Captura de pantalla 2011-10-04 a las 18.51.42.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.42.png_thumb)
![Captura de pantalla 2011-10-04 a las 18.51.56.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.56.png)
![Captura de pantalla 2011-10-04 a las 18.51.56.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.56.png_thumb)

acriollo

Solo una mas

![Captura de pantalla 2011-10-04 a las 18.52.08.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.52.08.png)
![Captura de pantalla 2011-10-04 a las 18.52.08.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.52.08.png_thumb)

enic68

Funciona perfecto, hice pruebas usando "Limiters" como lo indica el amigo acriollo

Aunque solo hice pruebas limitando a un solo usuario… (que pasara en un entorno mas grande ???)

Para seguir comentando el tema, cuando hice las pruebas no me funcionaba por que tenía al final la regla con los limites y sobre ella una regla (la que está por defecto con acceso a todo). esto dejaba mi regla sin efecto alguno ... en resumen se debe poner primero la regla que define los limites para la IP especifica y luego las otras... :P

Ahora me queda la duda si vale la pena dejar fuera de la limitación de ancho de banda el puerto 3128 de squid, pensando que para los elementos que se encuentren en cache del servidor el limite no se aplique... que opinan? (estoy loco ??? )

Estoy usando DHCP estático pero que pasaría si un usuario cambia su IP dentro del rango? que idea se les ocurre para que no se escapen los usuarios del limite de ancho de banda asignado ??? (limitar por Subredes?) ???

Que tan bien irá (funcionará bien) cuando hay muchos usuarios que están siendo limitados ... ???

.......ojalá sigan los comentarios está interesante.

Saludos desde Chile.-

acriollo

Hola Enic68

Es correcto que las reglas de limiters debeb de aplicarse antes de la regla que da el acceso a todo, de otra manera no se aplican ya que las regla se recorren de arriba abajo y una vez haciendo match en una ya no se procesan las demas.

Para el caso del cambio en las direcciones IP siempre puedes fijar las direcciones por medio del servidor de DHCP , dando entradas estaticas a las direcciones que no quieres que cambies.

Para el caso de que haya muchos usuarios con limites , creo que lo que puede impactar es en el desempeño, asi que entre mas ususarios tambien tendras que tener un poco mas de cpu.

Para el caso del cache, no se muy bien si el trafico llegue a tocar la regla del limiter ya que en el caso de usar un cache este captura antes las peticiones para mandarlas al proxy y el proxy es quien se encarga de entregar las paginas.

Ojala alguien pueda comentar al respecto ya que yo no soy tan bueno con el FreeBSD

Saludos¡

enic68

buenas como van una duda que tengo ….es si al lograr asignar un ancho de banda a cada IP podríamos pensar en liberar el uso de los p2p como ARES y otros?

Hasta donde se los p2p (como el Ares) generan muchas conexiones punto a punto, lo que causa problemas a los routers. al menos esa ha sido mi experiencia. Cada vez que los he dejado libres terminan colapsando mi router.. que opinan?
bastaría con asignar el ancho de banda determinado a los usuarios por IP, para liberar el uso de los p2p ? o hay que pensar en algo adicional?

ojalá se siga comentando... saludos desde Chile.-

ptt

Una forma de "contener" los P2P, sería limitando la cantidad de estados por host y / o la cantidad de conexiones estblecidas por host.

En las reglas del FW tienes en: Advanced features; Advanced Options : "Maximum number of established connections per host" y "Maximum state entries per host"

No lo he probado, pero me parece que podria funcionar.

enic68

mmmmmmmmmmmmmmmmmmmmm lo estoy mirando .. estoy tratando de establecer cuantas conexiones genera un usuario "normal" … para poner valores adecuados ...

conexiones_por_host.jpg_thumb

ptt

Podrias probar con:

"Maximum state entries per host" en 300

o

"Maximum number of established connections per host" en 150

Yo utilizo el sistema de limitar las conexiones por host, pero lo hago en los CPEs de mi red inalambrica, y con los equipos que uso (Ubiquiti) para un usuario normal, con 1Mb de download, lo limito en 150 . La limitación la realizo en cada CPE, no en el pfSense, y Ubiquiti lo denomina "IP conntrack", por eso te digo que pruebes con los valores de 300 estados o 150 conexiones, a ver como te resultan.

Saludos

ZAC

¿Hay manera de hacer eso con 1.2.3?, ¿de limitar los anchos de banda? ya tengo el TS.