Control de Ancho de Band por IPs



  • Hola Amigos del foro, despues de haber realizado ya algo de investigacion en el foro de ingles sobre como limitar el ancho de banda por IP creo que he quedado un poco mas confundido.

    Con Linux lo he hecho con Iptables y HTC pero con PFSense estoy basicamente perdido. Y en el foro hay muchas leyendas urbanas sobre qe si jala o no en el 2.0

    He visto algunos ejemplos y la documentacion del wiki pero no he podido controlar el bw para una ip en especifico.

    Lo que requiero es basicamente colocarle un limite de consumo de por ejemplo 512/256 para una ip en especifico.

    Actualmente he hecho lo siguiente :

    1. Crear los limitters en la parte de Traffic Shaper-> Limiter con la opcion de mascara por destino/origen
    2. Crear las reglas del lado de la LAN para una IP en especifico , en la parte de Firewall-Rules-LAN y especificando los pipes en la seccion in/out.

    No he tenido buenos resultados, alguien podria decirme si ha tenido exito con esta configuracion ?

    Saludos

    acriollo


  • Rebel Alliance

    Si solo te interesa limitar, tienes que utilizar "Limiters" ( busca en la seccion en ingles, hay bastante info ).

    Saludos



  • por lo que veo tienes la version 1.2 yo te recomeindo que te pases a la 2.0 rc 3 es mucho mas facil y yo particularmente lo he probado con 16 host y 3 tipos diferentes de velocidades y funciona de maravilla.

    la aplicacion esta en la parte del portal cautivo, lo activas y cuando vas agregar los usuarion en la parte depast trought Ip o MAc (cualquiera de los dos) fijas la velocidad por ip o por MAc. este para mi es uno de los cambios de la 2.0 que mas me ha favorecido y funciona muy bien.



  • Hola Alguien tiene un par de pantallas de como quedan las reglas en el firewall y en la definicion de los limiters ?

    Saludos y gracias de antemano



  • Hola , pude probar con las opciones del limiter y funciona muy bien aparentemente , ahora a probar con mas usuarios!!

    Saludos



  • Hola  amigo Buen dia. dime para configurar la opcion Limiter,necesariamente tengo q tener activado el traficc shaper o solo puedo usarlo independientemente sin tener activadop el traffc shaper..?.y la opcion donde dice : "Mask"  stan 3 opciones : none , source address y destination address,cual de ellas uso para limitar auna ip en specifico. Desde ya muchisimas gracias x tus consejos.Saludos.



  • Hola Antonhy . lo puedes usar de manera independiente . solamente con los limiters.
    Para ello debes de utilizar un limiter para bajada y otro para subida con la opcion de source address.

    Saludos



  • Gracias men.lo pondre a prueba .oye x siacaso tienes alguna implementacion para cachear videos,ya q sta de moda para las personas q comparten internet.Saludos.



  • Amigos

    los felicitos el tema esta muy bueno, sobre todo para nosotros los que tenemos redes wifi, por los momentot yo usaba en portal solo para controlar velocodad (el cual lo hace muy bien)

    pueden por favor para porder aprender mas como seria con limiters o usar el TS direstamente!

    si algo es cierto es que hay mucha informacion en la red de como usar el TS pero tambien mucha que no se entiende, este es un tema que simpre queda con duda, por favor si pueden colocar algunas paltallas para la comunidad seria bueno….

    muchas gracias por adelantado



  • Hola , les envio unas pantallas de como queda la regla para una IP o sub red o red complete



  • Las pantallas :)

    ![Captura de pantalla 2011-09-26 a las 09.27.53.png](/public/imported_attachments/1/Captura de pantalla 2011-09-26 a las 09.27.53.png)
    ![Captura de pantalla 2011-09-26 a las 09.27.53.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-09-26 a las 09.27.53.png_thumb)
    ![Captura de pantalla 2011-10-04 a las 18.50.16.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.16.png)
    ![Captura de pantalla 2011-10-04 a las 18.50.16.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.16.png_thumb)
    ![Captura de pantalla 2011-10-04 a las 18.50.53.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.53.png)
    ![Captura de pantalla 2011-10-04 a las 18.50.53.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.50.53.png_thumb)



  • Mas pantallas

    ![Captura de pantalla 2011-10-04 a las 18.51.04.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.04.png)
    ![Captura de pantalla 2011-10-04 a las 18.51.04.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.04.png_thumb)
    ![Captura de pantalla 2011-10-04 a las 18.51.42.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.42.png)
    ![Captura de pantalla 2011-10-04 a las 18.51.42.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.42.png_thumb)
    ![Captura de pantalla 2011-10-04 a las 18.51.56.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.56.png)
    ![Captura de pantalla 2011-10-04 a las 18.51.56.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.51.56.png_thumb)



  • Solo una mas

    ![Captura de pantalla 2011-10-04 a las 18.52.08.png](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.52.08.png)
    ![Captura de pantalla 2011-10-04 a las 18.52.08.png_thumb](/public/imported_attachments/1/Captura de pantalla 2011-10-04 a las 18.52.08.png_thumb)



  • Funciona perfecto, hice pruebas usando "Limiters" como lo indica el amigo acriollo

    Aunque solo hice pruebas limitando a un solo usuario… (que pasara en un entorno mas grande  ???)

    Para seguir comentando el tema, cuando hice las pruebas no me funcionaba por que tenía al final la regla con los limites y sobre ella una regla (la que está por defecto con acceso a todo). esto dejaba mi regla sin efecto alguno ... en resumen se debe poner primero la regla que define los limites para la IP especifica y luego las otras... :P

    Ahora me queda la duda si vale la pena dejar fuera de la limitación de ancho de banda  el puerto 3128 de squid, pensando que para los elementos que se encuentren en cache del servidor el limite no se aplique... que opinan?  (estoy loco  ??? )

    Estoy usando DHCP estático pero que pasaría si un usuario cambia su IP dentro del rango?   que idea se les ocurre para que no se escapen los usuarios del limite de ancho de banda asignado  ??? (limitar por Subredes?)  ???

    Que tan bien irá (funcionará bien) cuando hay muchos usuarios que están siendo limitados ...  ???

    .......ojalá sigan los comentarios está interesante.

    Saludos desde Chile.-



  • Hola Enic68

    Es correcto que las reglas de limiters debeb de aplicarse antes de la regla que da el acceso a todo, de otra manera no se aplican ya que las regla se recorren de arriba abajo y una vez haciendo match en una ya no se procesan las demas.

    Para el caso del cambio en las direcciones IP siempre puedes fijar las direcciones por medio del servidor de DHCP , dando entradas estaticas a las direcciones que no quieres que cambies.

    Para el caso de que haya muchos usuarios con limites , creo que lo que puede impactar es en el desempeño, asi que entre mas ususarios tambien tendras que tener un poco mas de cpu.

    Para el caso del cache, no se muy bien si el trafico llegue a tocar la regla del limiter ya que en el caso de usar un cache este captura antes las peticiones para mandarlas al proxy y el proxy es quien se encarga de entregar las paginas.

    Ojala alguien pueda comentar al respecto ya que yo no soy tan bueno con el FreeBSD

    Saludos¡



  • buenas como van una duda que tengo ….es si al lograr asignar un ancho de banda a cada IP  podríamos pensar en liberar el uso de los p2p como ARES y otros?

    Hasta donde se los p2p (como el Ares) generan muchas conexiones punto a punto, lo que causa problemas a los routers. al menos esa ha sido mi experiencia. Cada vez que los he dejado libres terminan colapsando mi router.. que opinan?
    bastaría con asignar el ancho de banda determinado a los usuarios por IP,  para liberar el uso de los p2p ? o  hay que pensar en algo adicional?

    ojalá se siga comentando... saludos desde Chile.-


  • Rebel Alliance

    Una forma de "contener" los P2P, sería limitando la cantidad de estados por host y / o la cantidad de conexiones estblecidas por host.

    En las reglas del FW tienes en: Advanced features; Advanced Options : "Maximum number of established connections per host" y "Maximum state entries per host"

    No lo he probado, pero me parece que podria funcionar.



  • mmmmmmmmmmmmmmmmmmmmm   lo estoy mirando .. estoy tratando de establecer cuantas conexiones genera un usuario "normal" …  para poner valores adecuados ...



  • Rebel Alliance

    Podrias probar con:

    "Maximum state entries per host" en 300

    o

    "Maximum number of established connections per host" en 150

    Yo utilizo el sistema de limitar las conexiones por host, pero lo hago en los CPEs de mi red inalambrica, y con los equipos que uso (Ubiquiti) para un usuario normal, con 1Mb de download, lo limito en 150 . La limitación la realizo en cada CPE, no en el pfSense, y Ubiquiti lo denomina "IP conntrack", por eso te digo que pruebes con los valores de 300 estados o 150 conexiones, a ver como te resultan.

    Saludos



  • ¿Hay manera de hacer eso con 1.2.3?, ¿de limitar los anchos de banda? ya tengo el TS.


Locked