Limite di banda per ip in upload



  • Ciao

    ho una adsl classica 400K in down e  50K in upload attaccata al pfsense, che natta una 30ina di utenti.

    Nel caso qualcuno "carichi" grossi file (vedi we transfer/dropbox/galleriepicasa etc etc)  gli utenti iniziano ad avere problemi
    di navigazione.

    Vorrei fare in modo che se c'e' tutta banda in upload libera l'utente che carica possa caricare usando i 50K, ma se altri utenti necessitino di banda
    venga divisa in equal maniera

    cosa mi consigliate? (considerando che non posso fare prioritizzazione su protocollo in quanto e' sempre tutto traffico http)

    grazie per gli hint



  • Hai provato con i filtri layer 7?



  • Ciao e grazie della risposta

    purtroppo la mia esigenza e' propio quella di non permettere ad ogni utente di superera un tot di kappa in upload  indipendentemente dal protocollo usato

    se uso layer7 dovrei poi specificare ogni protocollo

    ma la questione e' qanche quella in cui non so come specificare che tutti gli utenti della lan non possono uppare a piu di 10K al massimo a test

    :/



  • Ciao,
    tutti i metodi che conosco sono abbastanza complessi, forse quello meno complesso è definire una regola per ogni IP della rete in cui definisci il nelle Advanced features la banda massima utilizzabile in upload. Ovviamente prima devi definire la regola nel Traffic Shaper > Limiter, nella descrizione riporta proprio "This makes it possible to easily specify bandwidth limits per host."

    Altri metodi prevedono l'uso di squid o di autenticazione 802.1x su radius con la definizione della banda per utente. In questo caso devi verificare di avere uno switch compatibile con 802.1x
    Ciao





  • @violinipa:

    Qualche link interessante
    http://www.pfsenseitaly.com/2012/08/come-limitare-la-banda-in-upload-e.html
    http://www.youtube.com/watch?v=Usi195rK35I
    Ciao

    ciao violinipa e grazie dei link,
    purtroppo il mio caso e' un po particolare, io devo limitare ogni LAN ip (potrebbe essere anche ogni ip di una classe B) ad un determinato valore di banda,
    non posso quindi fare una regola per ogni ip (mi ci vorrebbe troppo tempo)

    c'e' modo di fare una regola che dica..OGNI ip della classe 10.10.10.0/23 deve poter al massimo avere tot in upload e tot in download?

    a presto



  • Sinceramente non conosco altro modo, perchè se escludi il fatto di creare regole per ogni singolo IP non saprei come ottenere lo stesso risultato.
    Ciao



  • scusa ma alla fine il tuo problema mi si è insinuato nella testa e pensa che ti ripensa penso di aver trovato la soluzione….
    Più semplice di quanto si possa pensare.

    1. crei un alias contenete l'elenco degli ip o la subnet
    2. crei una regola nel limiter
    3. crei una regola sull'interfaccia lan basata sul tuo alias e sul limiter creato.
      Spiegazione un po' veloce e sbrigativa ma spero di aver espresso il concetto :D

    Qui trovi un esempio su come usare il limiter di pfsense 2.0

    http://www.pfsenseitaly.com/2012/08/come-limitare-la-banda-in-upload-e.html



  • salve a tutti …. sono un nuovo utente ...
    anche a me interessa limitare 2-3 computer della mia lan e volevo sapere se era possibile tramite indirizzo mac , non solo tramite ip , in modo tale che se il computer cambia ip la limitazione è sempre valida,

    ho seguito questo tipo di limitazione http://www.youtube.com/watch?v=Usi195rK35I

    come faccio a limitare solo upload e download verso la wan ma non nella lan ?
    in modo che i computer possano scambiare file o altro in lan senza limiti ....

    poi ho anche visto nella configurazione su "Services: Captive portal" pass-through MAC
    a cosa serve? o visto che nell'aggiunta del mac address cè la limitazione up e down,
    ho provato a mettere il mac di un computer della lan e effettivamente lo limita, ma è corretto?

    grazie dell'aiuto ... spero di riuscire a configurarlo .... se qualcuno magari è disponibile per una mia prima configurazione possiamo sentirci su skype o messenger, poi in qualche modo contraccambio  ;)



  • @xalex1977:

    salve a tutti …. sono un nuovo utente ...
    anche a me interessa limitare 2-3 computer della mia lan e volevo sapere se era possibile tramite indirizzo mac , non solo tramite ip , in modo tale che se il computer cambia ip la limitazione è sempre valida,

    ho seguito questo tipo di limitazione http://www.youtube.com/watch?v=Usi195rK35I

    come faccio a limitare solo upload e download verso la wan ma non nella lan ?
    in modo che i computer possano scambiare file o altro in lan senza limiti ....

    poi ho anche visto nella configurazione su "Services: Captive portal" pass-through MAC
    a cosa serve? o visto che nell'aggiunta del mac address cè la limitazione up e down,
    ho provato a mettere il mac di un computer della lan e effettivamente lo limita, ma è corretto?

    grazie dell'aiuto ... spero di riuscire a configurarlo .... se qualcuno magari è disponibile per una mia prima configurazione possiamo sentirci su skype o messenger, poi in qualche modo contraccambio  ;)

    scusate se insisto …. vorrei un aiuto su questi punti:

    come faccio a limitare solo upload e download verso la wan ma non nella lan ?
    in modo che i computer possano scambiare file o altro in lan senza limiti ....
    poi ho anche visto nella configurazione su "Services: Captive portal" pass-through MAC
    a cosa serve? o visto che nell'aggiunta del mac address cè la limitazione up e down,
    ho provato a mettere il mac di un computer della lan e effettivamente lo limita, ma è corretto?

    grazie mille :)



  • @xalex1977:

    @xalex1977:

    salve a tutti …. sono un nuovo utente ...
    anche a me interessa limitare 2-3 computer della mia lan e volevo sapere se era possibile tramite indirizzo mac , non solo tramite ip , in modo tale che se il computer cambia ip la limitazione è sempre valida,

    ho seguito questo tipo di limitazione http://www.youtube.com/watch?v=Usi195rK35I

    come faccio a limitare solo upload e download verso la wan ma non nella lan ?
    in modo che i computer possano scambiare file o altro in lan senza limiti ....

    poi ho anche visto nella configurazione su "Services: Captive portal" pass-through MAC
    a cosa serve? o visto che nell'aggiunta del mac address cè la limitazione up e down,
    ho provato a mettere il mac di un computer della lan e effettivamente lo limita, ma è corretto?

    grazie dell'aiuto ... spero di riuscire a configurarlo .... se qualcuno magari è disponibile per una mia prima configurazione possiamo sentirci su skype o messenger, poi in qualche modo contraccambio  ;)

    scusate se insisto …. vorrei un aiuto su questi punti:

    come faccio a limitare solo upload e download verso la wan ma non nella lan ?
    in modo che i computer possano scambiare file o altro in lan senza limiti ....
    poi ho anche visto nella configurazione su "Services: Captive portal" pass-through MAC
    a cosa serve? o visto che nell'aggiunta del mac address cè la limitazione up e down,
    ho provato a mettere il mac di un computer della lan e effettivamente lo limita, ma è corretto?

    grazie mille :)

    qualcuno sa darmi qualche spiegazione sull'argomento?
    grazie



  • Per ora risondo sul Captive.

    Prima ti consiglio di dare una letta a questo
    http://it.wikipedia.org/wiki/Captive_portal

    In parole povere serve per catturare il traffico web e girarlo su un determinato indirizzo, spesso lo si sua per gli hot spot per le autentificazioni.

    La funzione di pass-through MAC nello specifico serve a determinati MAC (indirizzi fisici delle sk. lan) di bypassare il servizio di Captive.

    Ciaoz.-



  • @Ma.S.Caos.-:

    Per ora risondo sul Captive.

    Prima ti consiglio di dare una letta a questo
    http://it.wikipedia.org/wiki/Captive_portal

    In parole povere serve per catturare il traffico web e girarlo su un determinato indirizzo, spesso lo si sua per gli hot spot per le autentificazioni.

    La funzione di pass-through MAC nello specifico serve a determinati MAC (indirizzi fisici delle sk. lan) di bypassare il servizio di Captive.

    Ciaoz.-

    quindi non è giusto usarlo per limitare banda ad un mac della lan? altro modo?



  • Io userei questo servizio

    http://doc.pfsense.org/index.php/Traffic_Shaping_Guide

    Attenzione che però non lo consiglio su macchine con poca potenze o sk. di rete scadenti, in oltre per funzionare bene serve anche un switch degno (non quelli da 3 € … o da 20 € ... ma quelli SERI) !

    Eviteri per ora il la gestione dell'layer 7 che mi pare abbia dei bachi qua e la.

    Ciaoz.-



  • @Ma.S.Caos.-:

    Io userei questo servizio

    http://doc.pfsense.org/index.php/Traffic_Shaping_Guide

    Attenzione che però non lo consiglio su macchine con poca potenze o sk. di rete scadenti, in oltre per funzionare bene serve anche un switch degno (non quelli da 3 € … o da 20 € ... ma quelli SERI) !

    Eviteri per ora il la gestione dell'layer 7 che mi pare abbia dei bachi qua e la.

    Ciaoz.-

    ok, ma in questo modo non posso farlo con indirizzo mac ma solo con indirizzo ip; quindi se si specifica manualmente un'altro ip sul pc sono fregato …. :(



  • Domanda interessante.
    In effetti rileggendomi il man di captive c'è forse 1 possibilità, il problema è che il captive in se introduce delle variabili nella rete che non sono il massimo, del tipo potrebbe non funzionare qualcosa (a volte capita con siti bancari o ftp) e la colpa è del captive portal (e poi vai tu a capirlo).
    Se hai un interfaccia hardware a cui dedicare il lavoro di captive si potrebbe anche valutare di farlo fare a lui il lavoro di limit e filtraggio a livello di mac address, ovviamente senza richiedere autentificazione o cose simili.
    Dovrei fare una prova e poi ti faccio sapre.

    Ciaoz.-



  • @Ma.S.Caos.-:

    Domanda interessante.
    In effetti rileggendomi il man di captive c'è forse 1 possibilità, il problema è che il captive in se introduce delle variabili nella rete che non sono il massimo, del tipo potrebbe non funzionare qualcosa (a volte capita con siti bancari o ftp) e la colpa è del captive portal (e poi vai tu a capirlo).
    Se hai un interfaccia hardware a cui dedicare il lavoro di captive si potrebbe anche valutare di farlo fare a lui il lavoro di limit e filtraggio a livello di mac address, ovviamente senza richiedere autentificazione o cose simili.
    Dovrei fare una prova e poi ti faccio sapre.

    Ciaoz.-

    bene … la cosa mi interessa se puoi verificare e vedere come risolvere, io pfsense cè l'ho installato su un server virtualizzato vmware ;
    grazie per la disponibilità ...



  • @Ma.S.Caos.-:

    Domanda interessante.
    In effetti rileggendomi il man di captive c'è forse 1 possibilità, il problema è che il captive in se introduce delle variabili nella rete che non sono il massimo, del tipo potrebbe non funzionare qualcosa (a volte capita con siti bancari o ftp) e la colpa è del captive portal (e poi vai tu a capirlo).
    Se hai un interfaccia hardware a cui dedicare il lavoro di captive si potrebbe anche valutare di farlo fare a lui il lavoro di limit e filtraggio a livello di mac address, ovviamente senza richiedere autentificazione o cose simili.
    Dovrei fare una prova e poi ti faccio sapre.

    Ciaoz.-

    qualche novità?
    grazie



  • Scusa sono fuori sede per lavoro e credo di tornare lunedì (se non succedono altri casini con il cablaggio  :'( ).
    Appena riesco a mettere mano al mio caro pf ti so dire.

    Ciaoz.-



  • Allora, son tornato ed ho fatto la prova.
    In effetti puoi usare il Captive portal per il tuo scopo(per quanto dal mio punto di vista non è la scelta migliore).
    Lo puoi attivare senza autentificazione, tieni presente alcuni particolari:
    devi per forza di cose associare un interfaccia, che per tanto sarebbe meglio avere un interfaccia dedicata per i pc su cui vuoi operare.
    anche se metti senza autentificazione ti chiede comunque il login, basta dare l'ok e va avanti ma lo chiede comunque.
    impostanto nella pare del MAC i MAC dei client su cui vuoi operare non chiede + il login e puoi limitare la banda.

    Ciaoz.-



  • @Ma.S.Caos.-:

    Allora, son tornato ed ho fatto la prova.
    In effetti puoi usare il Captive portal per il tuo scopo(per quanto dal mio punto di vista non è la scelta migliore).
    Lo puoi attivare senza autentificazione, tieni presente alcuni particolari:
    devi per forza di cose associare un interfaccia, che per tanto sarebbe meglio avere un interfaccia dedicata per i pc su cui vuoi operare.
    anche se metti senza autentificazione ti chiede comunque il login, basta dare l'ok e va avanti ma lo chiede comunque.
    impostanto nella pare del MAC i MAC dei client su cui vuoi operare non chiede + il login e puoi limitare la banda.

    Ciaoz.-

    infatti io avevo provato nella parte del MAC i MAC dei client e sembra funzionare, non vorrei che poi effettivamente non limitasse tutto il traffico …


Locked
 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy