Apertura/Chiusura porte TCP a tempo o traffico massimo



  • Saluti a tutti da un nuovo utente pfSense.

    Mi sono buttato su questo freebsd per tentare di trovare una soluzione al mio problema:

    Ho una rete locale in cui ci sono più DVR che si affacciano all'esterno tramite un indirizzo IP pubblico con una tradizionale ADSL. Vorrei creare delle regole che mi permettesero di limitare il traffico in entrata nella ADSL/WAN al raggiungimento di un tempo max o soglia di mb max, esempio:

    DVR1: porta esterna 8081 - 50mb/giorno oppure 10min/giorno
    DVR2: porta esterna 8082 - 100mb/giorno oppure 20min/giorno
    DVR3: porta esterna 8083 - 20mb/giorno oppure 5min/giorno

    Ogni DVR ha il suo socket pubblico (XX.XXX.XX.XX:8081/8082/8083) e come potete ben vedere i DVR hanno limiti diversi tra loro. Vorrei realizzare ciò senza effettuare nessuna autenticazione di alcun tipo, ma semplicemente limitare il traffico in corrispondenza alle porte usate secondo determinate regole.

    E' possibile? Cosa mi serve? Grazie a tutti



  • Volevo risponderti prima ma ho voluto fare un po' di prove.
    Ora come ora la funzione che richiedi non credo sia supportata.

    Le funzioni che sono disponibli sono o una schedulazione, del tipo dalle xx alle yy (in pf è molto dettagliata) o la limitazione di banda in senso assoluto (tipo 512K in up 10 in dw).

    Spero che qualcuno mi possa smentire perchè sarebbe una funzione interessante.



  • @Ma.S.Caos.-:

    Volevo risponderti prima ma ho voluto fare un po' di prove.
    Ora come ora la funzione che richiedi non credo sia supportata.

    Le funzioni che sono disponibli sono o una schedulazione, del tipo dalle xx alle yy (in pf è molto dettagliata) o la limitazione di banda in senso assoluto (tipo 512K in up 10 in dw).

    Spero che qualcuno mi possa smentire perchè sarebbe una funzione interessante.

    Grazie per la risposta, effettivamente è l'unica soluzione che ho trovato anch'io, anche se la schedulazione sia un pò complessa nel senso che non ti permette selezionare mesi interi o addirittura anni, soltanto giorni o settimane, e questo complica un pò la programmazione a lungo termine.
    La limitazione di banda è l'unica alternativa valida che ho trovato, ma sono comunque in attesa di ulteriori consigli o nuove soluzioni.



  • Ciao,
    non so se può essere applicato al tuo caso ma un tentativo si può fare, dovresti attivare un captive portal con auth su radius e li impostare l'autenticazione basata su MAC imponendo limiti di traffico o di tempo per MAC

    In questo modo l'autenticazione è automatica e viene fatta dai tuoi DVR e i limiti impostati dovrebbero essere validi anche se il traffico è generato da client esterni alla tua lan.
    Ciao Fabio



  • @fabio.vigano:

    Ciao,
    non so se può essere applicato al tuo caso ma un tentativo si può fare, dovresti attivare un captive portal con auth su radius e li impostare l'autenticazione basata su MAC imponendo limiti di traffico o di tempo per MAC

    In questo modo l'autenticazione è automatica e viene fatta dai tuoi DVR e i limiti impostati dovrebbero essere validi anche se il traffico è generato da client esterni alla tua lan.
    Ciao Fabio

    Ciao, l'idea sarebbe buona, purtroppo però a livello 2 OSI la situazione non è proprio così semplice, purtroppo ci sono router e access point che non consentono di fare l'autenticazione tramite macaddress


Log in to reply