ограничить скорость в интернет самому пфl



  • ограничить скорость в интернет самому пфсенсу (в частности сквиду) -как?
    через сквид некоторые пользователи лезут на хттпс сайты.
    "трубы" сквида - не ограничивают скорость на хттпс.
    есть желание ограничить пфсенсу скорость в инет на 443 порты- как сделать? в правилах в источнике -получателе - кого выбрать?



  • В Rules–Destination port range -- https. Ну и лимитер



  • вопрос не в этом - не ограничивает.
    сделал правила лимитера - нифига…
    pass\queue на результат не влияет

    прилепил скрины... мож где то туплю

    внутри правило показал одно, 4 правила сделаны для направлений, на скрине написано они аналогичны.
















  • А на 4 картинке интерфейсы выбраны? Выделены?



  • не выбраны.
    а должны?
    разве в floating правилах - это обязательно?



  • Ну если перевести "Choose on which interface packets must come in to match this rule" то – да



  • выбрал wan - не помогло



  • А попробуйте Direction–any



  • Сорри за оффтоп, а что у Вас на предпоследнем скрине работает (6.png)? Случаем не Squid RealTime stat ?



  • @werter:

    Сорри за оффтоп, а что у Вас на предпоследнем скрине работает (6.png)? Случаем не Squid RealTime stat ?

    он самый.

    @gr0mW:

    А попробуйте Direction–any

    The following input errors were detected:
    You can not use limiters in Floating rules without choosing a direction.



  • А сквид часом не в прозрачном режиме? А то в нем не проксируеться https. Попробовать резать https не в floating, а на интерфейсах. Попробовал - у меня лимитер по https на интерфейсах работает.



  • сквид -не прозрачный.
    сквид вообще не фильтрует хттпс. точнее он в любом режиме может фильтровать хттпс только по доменам, не глубже (урлы не умеет)

    в данном случае можете сквид заменить на что угодно из сервисов.
    пробовал и на интерфейсах - не получается.
    свои скрины хттпс лимитера кинете?



  • Проверял дома. Завтра проверю на работе. Если все ОК то скину.

    Посмотрел Ваши, практически не отличаются (кроме скорости), и тем что применены на интерфейсах



  • тоже офтопнуть хочу.

    alexandrnew

    у вас настроен RealTime stat, но он в отличии от моего показывает загрузку канала, собственно сабж - а где это настраивается?



  • У меня настроено так.
    Interface LAN
    Firewall: Rules
    Proto Source Port Destination Port
    TCP LAN net * * 443 (HTTPS)
    Advanced features
    In/Out    1mb/1mb



  • Silencerun
    в русской ветке пробегала тема? я  настраивал по http://forum.pfsense.org/index.php/topic,38820.0.html

    gr0mW
    -у меня только ван интерфейс на данном пфсенсе юзается.



  • а если попробовать указать источник 127.0.0.1?



  • @DasTieRR:

    а если попробовать указать источник 127.0.0.1?

    в разве он не входи в * ?



  • @alexandrnew:

    @DasTieRR:

    а если попробовать указать источник 127.0.0.1?

    в разве он не входи в * ?

    Конечно должен, но у ПФ есть свои особенности, может это одна из них.



  • добавил и с 127.0.0.1 - не помогло…
    создается впечатление, что лимитер работает для "проходящего" трафика.... как в  iptables- forward....



  • @alexandrnew:

    добавил и с 127.0.0.1 - не помогло…
    создается впечатление, что лимитер работает для "проходящего" трафика.... как в  iptables- forward....

    Входящий в pfSense трафик уже прибыл и ничего там шейпить не получится. Шейпить можно только исходящие пакеты



  • @dvserg:

    @alexandrnew:

    добавил и с 127.0.0.1 - не помогло…
    создается впечатление, что лимитер работает для "проходящего" трафика.... как в  iptables- forward....

    Входящий в pfSense трафик уже прибыл и ничего там шейпить не получится. Шейпить можно только исходящие пакеты

    вот я об этом и говорю… и при этом шейпить с осквида - тоже не выходит... результат - имеем дыру ....
    а исходящий трафик - выходит небольшой, запрос от сквида ушел и все....
    вариантов, кроме как шейпить на шлюзе для данной машины - получается нету?


Locked