ограничить скорость в интернет самому пфl

alexandrnew

ограничить скорость в интернет самому пфсенсу (в частности сквиду) -как?
через сквид некоторые пользователи лезут на хттпс сайты.
"трубы" сквида - не ограничивают скорость на хттпс.
есть желание ограничить пфсенсу скорость в инет на 443 порты- как сделать? в правилах в источнике -получателе - кого выбрать?

gr0mW

В Rules–Destination port range -- https. Ну и лимитер

alexandrnew

вопрос не в этом - не ограничивает.
сделал правила лимитера - нифига…
pass\queue на результат не влияет

прилепил скрины... мож где то туплю

внутри правило показал одно, 4 правила сделаны для направлений, на скрине написано они аналогичны.

1.png_thumb

2.png_thumb

3.png_thumb

4.png_thumb

5.png_thumb

6.png_thumb

7.png_thumb

gr0mW

А на 4 картинке интерфейсы выбраны? Выделены?

alexandrnew

не выбраны.
а должны?
разве в floating правилах - это обязательно?

gr0mW

Ну если перевести "Choose on which interface packets must come in to match this rule" то – да

alexandrnew

выбрал wan - не помогло

gr0mW

А попробуйте Direction–any

werter

Сорри за оффтоп, а что у Вас на предпоследнем скрине работает (6.png)? Случаем не Squid RealTime stat ?

alexandrnew

@werter:

Сорри за оффтоп, а что у Вас на предпоследнем скрине работает (6.png)? Случаем не Squid RealTime stat ?

он самый.

@gr0mW:

А попробуйте Direction–any

The following input errors were detected:
You can not use limiters in Floating rules without choosing a direction.

gr0mW

А сквид часом не в прозрачном режиме? А то в нем не проксируеться https. Попробовать резать https не в floating, а на интерфейсах. Попробовал - у меня лимитер по https на интерфейсах работает.

alexandrnew

сквид -не прозрачный.
сквид вообще не фильтрует хттпс. точнее он в любом режиме может фильтровать хттпс только по доменам, не глубже (урлы не умеет)

в данном случае можете сквид заменить на что угодно из сервисов.
пробовал и на интерфейсах - не получается.
свои скрины хттпс лимитера кинете?

gr0mW

Проверял дома. Завтра проверю на работе. Если все ОК то скину.

Посмотрел Ваши, практически не отличаются (кроме скорости), и тем что применены на интерфейсах

Silencerun

тоже офтопнуть хочу.

alexandrnew

у вас настроен RealTime stat, но он в отличии от моего показывает загрузку канала, собственно сабж - а где это настраивается?

gr0mW

У меня настроено так.
Interface LAN
Firewall: Rules
Proto Source Port Destination Port
TCP LAN net * * 443 (HTTPS)
Advanced features
In/Out 1mb/1mb

alexandrnew

Silencerun
в русской ветке пробегала тема? я настраивал по http://forum.pfsense.org/index.php/topic,38820.0.html

gr0mW
-у меня только ван интерфейс на данном пфсенсе юзается.

DasTieRR

а если попробовать указать источник 127.0.0.1?

alexandrnew

@DasTieRR:

а если попробовать указать источник 127.0.0.1?

в разве он не входи в * ?

DasTieRR

@alexandrnew:

@DasTieRR:

а если попробовать указать источник 127.0.0.1?

в разве он не входи в * ?

Конечно должен, но у ПФ есть свои особенности, может это одна из них.

alexandrnew

добавил и с 127.0.0.1 - не помогло…
создается впечатление, что лимитер работает для "проходящего" трафика.... как в iptables- forward....