[Share] TRAFFIC SHAPER LIMITER & SQUID DELAY POOL DI PFSENSE



  • ASS WR WB
    Salam PFSI

    I. Traffic Shaping Limiter di pfsense

    Masih mengacu pada thread sebelah yang sudah dilakukan pengetesan terlebih dahulu. Ada beberapa perubahan tetapi tidak mendasar, prinsipnya sama dengan yang telah diinformasikan thread sebelah. Panduan untuk membuat alias saya anggap sudah mengerti diakses pada menu Firewall: Aliases
    Langkah pertama adalah

    1. Menbuat limiter pada Traffic Shaper

    Caranya , akses menu Firewall: Traffic Shaper: [tab] Limiter
    Create new limiter [tanda +]

    Centang Enable limiter and its children
    Name       : DL
    Bandwidth : isikan besar bandwith download yang diinginkan
    Mask       : source address

    Create new limiter [tanda +]

    Centang Enable limiter and its children
    Name       : UP
    Bandwidth : isikan besar bw upload yang diinginkan
    Mask       : destination address

    Traffic shaper Limiter yang sudah dibuat seperti gambar di bawah ini

    Untuk melihat limiter sudah tersetting dengan benar bisa di akses pada menu Diagnostics: Limiter Info
    Seperti gambar di bawah ini

    1. Membuat Rule (filter) floating
      Caranya , akses menu Firewall: Rules : [tab] floating
      kemudian create rule dengan menekan tombol [+] yang paling atas.
      Kolom-kolom yang harus diisi

    Action       : pass
    Quick        : centang Apply the action immediately on match.
    Interface   : WAN
    Direction    : Out
    Protocol     : Any
    Source      : WAN address
    Destination : Single host or alias  (diisi dengan ip subnet lan atau alias)
                           Contoh : 192.168.1.2 atau diisi dengan nama alias yg dibuat
    In/Out       : UP/DL

    Cara mengisi dan rule yang sudah jadi seperti dibawah ini

    1. Membuat Rule (filter) pada interface LAN
      Caranya , akses menu Firewall: Rules : [tab] LAN
      kemudian create rule dengan menekan tombol [+] yang paling atas.
      Kolom-kolom yang harus diisi :

    Action : pass
    Interface : LAN
    Protocol : Any
    Source : Single host or alias  (diisi dengan ip subnet lan atau alias)
                            Contoh : 192.168.1.2 atau diisi dengan nama alias yg dibuat
    Destination : centang NOT
                     Type LAN address
    In/Out : UP/none

    Cara mengisi dan rule yang sudah jadi seperti dibawah ini

    II. Traffic Shaping Limiter pfsense dengan Squid

    Ketika proxy server (Squid) di install, state route akan mengalami perubahan. Squid akan menyembunyikan state route dari client ( LAN subnet) ke arah ANY ( baca : public IP/internet).State hanya menunjukkan komunikasi data dari LAN Subnet ke arah LAN address (baca: IP address LAN) dan dari WAN address kearah ANY  ( baca : public IP/internet).

    Hal ini berakibat pada filter yang akan dibuat. Dimana beberapa filter yang dibuat pada interface WAN tidak mengakomodir setting yang berkenaan dengan LAN address dan LAN subnet. Salah satu hal yang kita bisa yakini adalah destination/source ANY termasuk didalamnya LAN address dan LAN subnet.

    Hanya saja kondisi ini akan membuat filter yang berlaku per host/IP yang bekenaan dengan LAN subnet tidak dapat di definisikan. Jadi kesimpulanya filter yang dibuat berlaku untuk semua Host/IP yang terhubung dengan interface WAN.

    Untuk mesin yang terinstall squid didalamnya cara filter menyeluruh masih dapat digunakan. Tetapi untuk filter per host/IP yang berkenaan dengan LAN subnet belum bisa digunakan.

    Caranya sama dengan diatas hanya saja pada rule di interface floating settingnya menjadi seperti demikian. Destination tidak didefinisikan tetapi diisi dengan ANY.

    Membuat Rule (filter) floating
    Caranya , akses menu Firewall: Rules : tab floating
    kemudian create rule dengan menekan tombol [+] yang paling atas.
    Kolom-kolom yang harus diisi

    Action       : pass
    Quick         : centang Apply the action immediately on match.
    Interface   : WAN
    Direction    : Out
    Protocol     : Any
    Source       : WAN address
    Destination : ANY   <=== Disini bedanya
    In/Out       : UP/DL

    Cara mengisi dan rule yang sudah jadi seperti dibawah ini

    III. Squid Delaypool limiter di pfsense

    1. Aktifkan Custom  Delaypool pada GUI configurator

    Akses menu Services : Proxy server : [tab] Traffic Mgmt. Buka conteng Enable Delay pool, sesuai dengan keterangan “This option enables the delay pool. Disable if you have custom delay pool”. Disable kan delay pool default dari squid untuk mempergunakan Custom Delay pool. Jangan lupa untuk menyimpan hasil setting.Seperti gambar di bawah ini

    1. Setting usr/local/pkg/squid.inc

    Agar GUI configurator tidak mengembalikan setting ke setting semula adalah dengan mengedit file squid.inc. Cari kata yang bertuliskan squid.conf di dalam file squid.inc dengan fungsi FIND dan bisa direname menjadi squid.conf.bak .Catatan kata squid.conf  hanya ada 1 didalam file squid.inc .

    1. Kustomasi Konfigurasi
      Untuk kustomasi squid configuration lebih baik line command nya ditambahkan di file usr/local/etc/include.conf . Dengan maksud agar file konfigurasi squid lebih teratur, ada kemudahan untuk menkostumasi ulang dan secara default squid.conf sudah membaca file include ini. Bisa diperiksa di file usr/local/etc/squid.conf

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
    acl sslports port 443 563
    acl manager proto cache_object
    acl purge method PURGE
    acl connect method CONNECT
    acl partialcontent_req req_header Range .*
    #acl dynamic urlpath_regex cgi-bin ?
    include /usr/local/etc/squid/include.conf  <===== Disini
    #cache deny dynamic
    http_access allow manager localhost

    1. Menambahkan Custom Delay pool Limiter

    Langkah selanjutnya adalah edit file usr/local/etc/include.conf, dan tambahkan line perintah delay pool dan zero penalty hit seperti contoh di bawah ini.

    ====== Custom Options ========

    acl limit-user src 192.168.1.2/32
    delay_pools 2
    delay_initial_bucket_level 50
    delay_class 2 2
    delay_access 2 allow limit-user
    delay_parameters 2 128000/128000 32000/32000
    zph_mode tos
    zph_local 0x30
    zph_parent 0
    zph_option 136

    ====== End Custom Options ========

    Letakan line command ini diatas, dibawah line perintah yang pertama

    $Rev$

    ** <===== Disini**

    Restart squid seperti gambar dibawah ini,

    kalau tidak ada kesalahan squid tidak stop ( running kembali). Atau bisa juga ketikan pada shell console

    squid -f usr/local/etc/squid/squid.conf –z
    squid –z

    1. Menyesuaikan besarnya Bandwith
      Penjelasanya yang utama dan perlu perubahan untuk penyesuaian setting bandwith ada pada 3 line berikut

    acl limit-user src 192.168.1.2/32

    limit-user adalah nama acl.  Acl bisa berupa individual IP, Network atau user.
    Contoh ACL source yang bisa digunakan
    acl limit-user src  192.168.1.2/32
    acl limit-user src  192.168.1.0/24
    acl limit-user src  192.168.1.100-192.168.1.200

    delay_access 2 allow limit-user

    limit-user adalah nama ACL yang di allow

    delay_parameters  2  128000/128000 32000/32000

    Format delay_parameters adalah delay_parameters pool aggregate individual
    Keterangan delay_parameters diatas adalah
    pool adalah 2
    aggregate 128000/128000
    individual 32000/32000
    satuan yang digunakan adalah byte = bit/8

    Contoh :
    keseluruhan network aggregate 2048Kbits/s (2M)
    individual host(IP) 256Kbits/s (256Kbps)
    Network aggregate = 2048000bits/8 = 256000
    individual host(IP)  = 256000bits/8 = 32000
    jadi delay_parameter menjadi
    delay_parameters  2 256000/256000 32000/32000

    Sejauh pengetahuan saya delaypool juga bisa melakukan pembatasan pada metode multrhead download seperti fitur pada software IDM. Untuk yang menggunakan SQUID, gambar dibawah ini bisa menunjukan performa nya.

    File yang pertama didownload 2x dan ada di chace SQUID, sedangkan file yang kedua masih dalam proses download belum tersimpan di chace SQUID.

    Demikian dulu semoga bermanfaat.

    Salam PFSI
    WSS WR WB



  • Om SPC ini kalo menjelaskan sangat mudah, dampang dimengerti.

    Trim om ..
    Saya cuma berusaha membuat semarak forum saja, meski dengan bahasa yg kacau balau (mhn dimaklumi)  Biar forum ini keliatan seru gitu. :)



  • ASS WR WB
    Salam PFSI

    Rasanya amal pakde besar sekali membuat pengunjung betah dengan obrolan yang tidak membosankan.
    sambil nyisipkan pepatah " Jika kamu merasa selalu salah, jangan menyerah. Tetapi teliti kembali apa yg telah kamu lakukan, karena pasti caramu ada yg salah." Semoga menjadi renungan termasuk saya yang masih naif ini.

    Oke dah … sekali lagi semangat PFSI  :)

    WSS WR WB



  • seandainya ada feature like kayak di socmed …
    sudah pasti om lakukan ...  ;D

    approaching diatas kira2 bisa dilakukan dengan gateway beda benwith antara internasional dan domestik gak ya ...
    front end gateway nya berbasis bgp protocol

    anyway, this skrinsut for pf lover, rock solid




  • selamat larut malam sebelumnya…................

    Saya masih nubie nih yg br belajar router, secara pakai pfsense-v2.0.2 baru 2 hari :)
    Ini saya mau tanya di thread ini:

    Ttg penjelasan romawi I, no.3 (Membuat Rule (filter) pada interface LAN)
    pada poin:  In/Out    : UP/none
    kok gak sinkron dengan penjelasan pada gambar bawahnya yah???
    yg benar yg pada pernyataan tulisan atau yg pada pernyataan gambar???

    Kemudian,
    Untuk romawi II  (Traffic Shaping Limiter pfsense dengan Squid)
    Apakah pengaturan rule filter pd LAN sama seperti pd romawi I

    Yg terakhir,
    Mohon pd bang SPC dan master2 yg lainnya, untuk lebih dijelaskan ttg parameter "Direction" pd pengaturan floating rule…..
    saya kurang paham............ maksudnya  "in" dan "out" dan di lihat dr sudut pandang apa???

    Maaf jk sy bertanya terlalu banyak...........
    mohon pencerahannya

    terima kasih sebelumnya,..................



  • @mamat_do:

    selamat larut malam sebelumnya…................

    Saya masih nubie nih yg br belajar router, secara pakai pfsense-v2.0.2 baru 2 hari :)
    Ini saya mau tanya di thread ini:

    Ttg penjelasan romawi I, no.3 (Membuat Rule (filter) pada interface LAN)
    pada poin:  In/Out    : UP/none
    kok gak sinkron dengan penjelasan pada gambar bawahnya yah???
    yg benar yg pada pernyataan tulisan atau yg pada pernyataan gambar???

    Kemudian,
    Untuk romawi II  (Traffic Shaping Limiter pfsense dengan Squid)
    Apakah pengaturan rule filter pd LAN sama seperti pd romawi I

    Yg terakhir,
    Mohon pd bang SPC dan master2 yg lainnya, untuk lebih dijelaskan ttg parameter "Direction" pd pengaturan floating rule…..
    saya kurang paham............ maksudnya  "in" dan "out" dan di lihat dr sudut pandang apa???

    Maaf jk sy bertanya terlalu banyak...........
    mohon pencerahannya

    terima kasih sebelumnya,..................

    ASS WR WB
    Salam PFSI

    Jawabanya :
    Ttg penjelasan romawi I , sesuai dengan gambar penjelasan salah pengetikan.
    Untuk romawi II, sesuai dengan gambar penjelasan salah pengetikan.
    ttg parameter "Direction" pd pengaturan floating rule , belum bisa kupas sekarang, tapi saya janji kalo ada kelonggaran waktu pasti akan dikupas. OK demikian dulu.

    Salam PFSI
    WSS WR WB



  • @serangku:

    seandainya ada feature like kayak di socmed …
    sudah pasti om lakukan ...  ;D

    approaching diatas kira2 bisa dilakukan dengan gateway beda benwith antara internasional dan domestik gak ya ...
    front end gateway nya berbasis bgp protocol

    anyway, this skrinsut for pf lover, rock solid

    ASS WR WB
    Salam PFSI

    Kayaknya skenario yang terakhir bisa Om untuk front kalo kita diposisi BGP peer nya ISP, yang romawi III. Squid Delaypool limiter di pfsense. Di tune via acl nya,
    kemudian pakai nice (IIX) yang update terakhir. Kebetulan saya punya yang release 3 januari 2013. Dibuat acl
    allow yang IIX and yang allow !IIX masing-masing diberi jatah bandwith yang berbeda.

    Untuk di ekor nya kayaknya
    bisa pakai OpenBGP atau Quagga. Tapi ntar dipikirkan lagi lah. Mbayangkan sepertinya masih simple pakai solusi
    wireless Radio, dan cakupan mungkin untuk purpose game online antar warnet/RTRWNet (baca:mikroISP).

    Salam PFSI
    WSS WR WB



  • cari2 file include.conf ternyata editnya di sini kalo di saya /usr/local/etc/squid/include.conf, bos saya sudah coba, utak atik shaper ini.., sebenarnya tutor yang ada disini work semua, cuma masalahnya sedikit aja kalo di saya itu, shapernya gak langsung immediately apply gitu.

    misalnya kalo pake browser maupun idm, 1 detik pertama itu selalu dia download at full speed, jadi kalo misalnya bandwidth sekitar 450 kbps, meskipun clientnya dilimit, 1/2 s.d 1 detik itu dia full speed dulu sekitar 420an kbps baru kemudian baru turun sesuait limiternya.. tampak sekali di traffict wan graphnya.

    jadi itu maslahnya kalo di saya, setiap awal open connection / download selalu begitu.., gimana solusinya supaya langsung berjalan itu limiter maupun shapernya.



  • oya itu sebelumnya sudah saya oprek sana sini, baru bisa berhasil limiter apply 1/2 s.d 1 detik, sebelumnya di thread yg lain pernah saya post shaper dan limiter telat kira2 6 s.d 10 detik an…

    di lan party jadinya menganggu sekali, kan setiap saat bisa saja ada user yang mulai / baru open connection / download.. atau idmnya di klak klik start resume, start resume berulang2.



  • ini gambar traffictnya

    ![limiter nge burst.JPG](/public/imported_attachments/1/limiter nge burst.JPG)
    ![limiter nge burst.JPG_thumb](/public/imported_attachments/1/limiter nge burst.JPG_thumb)



  • Selamat malam bang SPC dan rekan2 sekalian

    Saya mengucapkan terima kasih kpd bang SPC yg sudah sudi membalas pertanyaan sy terdahulu

    Pada kesempatan ini saya ingin tanya kembali, sudikah kiranya bang SPC atau mungkin rekan2 lain memberikan penjelasan tentang penerapan
    ZPH pada pengaturan rule firewall pada PFsense v2.0.x

    Terima kasih atas perhatiannya….......



  • @extreemblank:

    cari2 file include.conf ternyata editnya di sini kalo di saya /usr/local/etc/squid/include.conf, bos saya sudah coba, utak atik shaper ini.., sebenarnya tutor yang ada disini work semua, cuma masalahnya sedikit aja kalo di saya itu, shapernya gak langsung immediately apply gitu.

    misalnya kalo pake browser maupun idm, 1 detik pertama itu selalu dia download at full speed, jadi kalo misalnya bandwidth sekitar 450 kbps, meskipun clientnya dilimit, 1/2 s.d 1 detik itu dia full speed dulu sekitar 420an kbps baru kemudian baru turun sesuait limiternya.. tampak sekali di traffict wan graphnya.

    jadi itu maslahnya kalo di saya, setiap awal open connection / download selalu begitu.., gimana solusinya supaya langsung berjalan itu limiter maupun shapernya.

    ASS WR WB
    Salam PFSI

    Dicoba menggunakan delay_parameters seperti ini

    delay_parameters 2 -1/1 32000/-1

    Angka 32000 penjelasanya seperti dibawah ini, atau bisa juga mengacu posting
    sebelumnya. yaitu limit yang diterapkan untuk per individual IP/host

    individual host(IP)  = 256000bits/8 = 32000

    Demikian dulu, semoga bermanfaat

    Salam PFSI
    WSS WR WB



  • – Refresh --


Log in to reply