Traffic shaping



  • Hola, me estoy iniciando en Pfsense, vengo de monowall, y tengo un inconveniente al querer agregar una regla para limitar por ej el puerto 80 a 512kb, no logro hacer el limite, errores por todos lados salen. Si alguien sabe como añadir dicha regla que lo facilite por aca. Muchas gracias!!!



  • nadie sabe?  ???



  • :-[



  • ¡Hola!

    El camino lógico para Traffic Shaper es emplear el asistente y después ajustar "a mano". Empezar "a mano" puede ser realmente complicado, ya que hay que definir las "colas madre", sus "colas hijas" y las reglas de cortafuegos que autoriza el tráfico …

    http://www.bellera.cat/josep/pfsense/cabal_cs.html

    Saludos,

    Josep Pujadas



  • Intente varias meneras sin tener exito, lo unico que pude modificar es que los p2p trabajen a X velocidad y quedo estable. Para el puerto 80 cree 2 queues up y down, y a la regla que me creo el wizard lo remplase por estas, sin tener exito. Si hay otra manera agradeceria con honores su ayuda. Gracias



  • ¡Hola!

    Me sabe mal, pero no puedo prestarte más ayuda que mi experiencia descrita en el tutorial.

    No obstante, veo que el asistente tiene una regla para precisamente crear colas para navegación web. Yo miraría con más detalle las posibilidades del asistente. Debería funcionar …

    En el foro en inglés hay un apartado dedicado a Traffic Shaping:

    http://forum.pfsense.org/index.php/board,26.0.html

    Saludos,

    Josep Pujadas



  • Bueno despues de estar varios dias renegando pude limitar el puerto 80, pero sin el wizzard ya que este me traia conflictos.
    ¿Por que? no se pero haciendo los mismos pasos con el wizard no me anda, una lastima.
    Ahora la siguiente consulta es; Instale el paquete squid, y lo que quiero es que lo que este alojado en el cache se transfiera a velocidad lan, y los paquetes que no los haga obviamente a la velocidad marcada en con el puerto 80. ¿Que tendria que hacer?



  • ¡Hola!

    ¿Estás seguro que Traffic Shaper te está limitando la velocidad de acceso a la caché de squid?

    No he hecho nunca un montaje como el tuyo, ¿me podrías confirmar si es así?

    Saludos,

    Josep Pujadas



  • Ahora logre ahorcar el puerto 80 teniendo todo el wizard. De a poquito va quedando.
    Bien, el squid lo tengo corriendo en el puerto 80.

    EJ de como tengo el squid.

    La regla de traffic shaper (la cual cree 2 queues p80DOWN 512Kb y otra p80UP 56Kb)

    Aparentemente con una regla me toma las 2 queues, pero me limita la descarga del squit tambien :(
    Probe poniendo el puerto squid en 3128 y asi logro que no me limite la descarga squid, pero ¿hay alguna forma de correrlo en puerto 80 sin hacer la modificacion proxy en otra pc cliente?

    ¿Es posible que el download proxy se haga a velocidad lan, y no el upsteam que setie en el wizard?



  • ¡Hola!

    ¿Tienes puesto el proxy en los navegadores de los clientes? Si es así ¿por qué no emplear el puerto 8080 (el más habitual) u otro para squid?

    También podrías probar qué pasa si pones el proxy en modo transparente. De esta forma no tendrías que poner nada en los navegadores de los clientes. Toda la navegación pasaría siempre por squid. Quedaría pendiente ver qué hace Traffic Shaper empleando squid en modo transparente.

    Saludos,

    Josep Pujadas



  • Claro es logico lo que me explicas de usar un puerto aleatoreo para proxy, pero seria mas util que no sea por proxy de navegador ya que hay muchas aplicacions "juegos", updates etc que se hacen por el puerto 80, imaginate el ahorro de ancho de banda que tendria, haciendolo en modo transparente. Pero de esta manera no logro hacer el estrangulamiento del P80 HTTP.



  • Estube pensando que la unica manera de estrangular el 80 de raiz para que no interfiera con squid seria y tenerlo en transparente es estrangular el p80 pero solo en "wan" ¿se puede?



  • ¡Hola!

    No lo sé. Igual creando las colas y las reglas a mano debería ser posible …

    De todas maneras, si puedes, mejor sería montar una máquina squid en modo transparente, entre tu red y la interfase LAN de tu pfSense.

    Más costoso y también más laborioso, pero más potente, flexible y seguro ...

    Squid tiene muchas funcionalidades y en pfSense lo que tienes es un squid cómodo de manejar, pero con menos prestaciones que un squid completo.

    Lo mismo ocurre con otros paquetes como, por ejemplo, snort:

    http://www.bellera.cat/josep/snort2pfsense/snort2pfsense.jpg

    Saludos,

    Josep Pujadas



  • hola buen dia
    soy nuevo en pfsense y quisiera una ayuda para colocar la navegacion por ip a 256 y una descarga de 25k mi conexion es de 1536 kbps aun tengo algunas dudas con los tipos de medicion de velocidad y como colocarlas en pfsense acabo de ver que nucleolan activo squid por proxy esa opcion aun no la leo en pfsense o sera que la desactive? tengo instalado pfsense rc2 developers tengo una lan con 13 pc. tambien quisiera tener cache en mi red para poder consumir menos ancho de banda muchas gracias. ley el tutorial pero le hice algunas modificaciones porque en si
    mi red es algo pequeña un cyber en venezuela de 13 maquinas.



  • ¡Hola!

    Pa tener squid en el pfSense tienes que tener la versión LiveCD instalada en el disco duro. A partir de entonces tendrás la opción [Packages] con la lista de paquetes disponibles.

    Uno de ellos es squid … Lo instalas y te aparecerá en [Services] (si no recuerdo mal) la configuración del proxy …

    En cuanto a Traffic Shaper no queda más remedio que empezar con el asistente e ir ajustando según lo que veas que pasa en las colas:

    http://www.bellera.cat/josep/pfsense/cabal_cs.html

    Saludos,

    Josep Pujadas



  • gracias por su pronta respuesta señor bellera. queria tambien saber en la seccion de agregar paquetes adicionales cuales son los mas indicados ya que me aparecen mas de 25 paquetes adicionales de instalacion freeradius, bandwith, squid, etc para que seria estas aplicacione s y su funcionabilidad conosco squid como proxy. es el unico, pero es mi mayor duda mi amigo endcoronel me dijo que con freeradius quedaba mas a tono para que es esta funcion de agregacion.



  • ¡Hola!

    FreeRadius es para autentificación de usuarios, por ejemplo, en casos wireless.

    Squid es para tener una cache de páginas web en disco. Además permite filtrar contenidos, basándose en la dirección web a la que va el usuario. Y. finalmente, permite validación de usuario al ir a Internet. Lo usual es usar Squid para el lado LAN.

    En cuanto al resto de paquetes hay una pequeña explicación en cada uno de ellos. Y buscando con Google el paquete puedes ir a su página web. Muchos de ellos tienen capturas de pantalla dónde se ve qué hacen.

    Saludos,

    Josep Pujadas



  • gracias por la respuesta señor bellera. en mi red del cyber lo unico que quiero es colocar a trabajar a todo el mundo en 256 kbps y colocar el squid para el chache. tendria que colocar traffic sharper general? como le dije anteriormente tengo una conexion de 1536 kbps que seria igual 192 k diviendo entreo ocho logicamente cuantas maquinas soportaria el pfsense. y gracias nuevamente por la pronta respuesta a mis preguntas.

    la otra era cual es la fiferencia de colocar a pfsense en modo https? y no httP? y si una conexion no usa el ancho de banda esa conexion ayuda a las demas? o reparte entre la lan??

    y tambien quisiera saber si pfsense trae un medidor de velocidad y donde entro para verlo???



  • ¡Hola!

    https es para tener seguridad dentro de tu LAN al administrar tu pfSense. La información viaja encriptada en lugar de texto plano. Según como tengas la red, un ataque puede hacerse desde dentro o desde fuera …

    Por lo que explicas yo probaría inicialmente sólo con squid, para ir teniendo una caché local.

    Más tarde, si en determinadas actividades quieres dar preferencias entonces aplicaría Traffic Shaper. La cuestión es más bien si quieres garantizar o no un caudal para navegación "normal" cuando hay gente empleando p2p. Bueno, esto es lo que me parece ... No soy experto en cybers ...

    Saludos,

    Josep Pujadas



  • hola buenas tardes señor bellera mi pregunta era la siguiente como hago para colocarme una ip con un ancho de banda definido como cliente especial en pfsense o salirme de las reglas aplicadas en traffic sharper? existen las pipes? que son? ya logre colocar la navegacion pero general ahora solo requiero de esa informacion muchas gracias por la ayuda prestada. como debo hacer?



  • ¡Hola!

    Tengo el tema algo oxidado, porque no empleo actualmente Traffic Shaper. Pero la idea sería la siguiente:

    1. Leer detenidamente cómo funcionan las colas, http://www.bellera.cat/josep/pfsense/cabal_cs.html

    2. Hacer una copia de seguridad de la configuración del cortafuegos.

    3. Modificar las colas, creando una de específica para el cliente especial. ¡Ojo! Hay que respetar la estructura que tienen las colas (madres, hijas).

    4. Modificar las reglas de Traffic Shaper, creando una de específica para el cliente especial, con la cola también específica.

    5. Monitorear e ir ajustando …

    Traffic Shaper requiere imaginación, testeo y paciencia ... Yo lo descarté porque en mi caso (centro educativo) más valía cortar los p2p de golpe (seguridad, legalidad, ancho de banda, ...).

    Saludos,

    Josep Pujadas



  • gracias por la respuesta hermano bellera pero de verdad si no usas traffic sharp como haces para manejar el ancho de banda?? de cada usuario pense que era una solucion logica ante los usuarios abusivos de la banda solo cortaste el uso del p2p? y para tener tantos pc?? con una sola conexion? o haces balanceo de carga??? una pregunta cuantas conexiones wan tienes osea proveedora de servicios y a que velocidad trabaja cada maquina en tu red?? son dudas que me hago al ser usted el maestro en pfsense me hago estas preguntas para ver el alcance de este corta fuegos que intengra varias opciones espsificas ley que alguien aplico pipes me canso de buscarlo en pfsense y no lo veo por ningun lado seguire de antenamo sus recomendaciones. y hare el estudio correspondiente a las colas



  • ¡Hola!

    Es cierto que cortando sólo p2p puedo tener usuarios abusivos. Por ejemplo, haciendo ftp o visionando videos en youtube.

    Pero juego con el hecho que tengo un squid externo a pfSense bastante afinado, en el lado de la LAN de mis alumnos. Por tanto estoy sirviendo contenidos a 100 Mbit/s una vez están dentro de la caché.

    La conexión ADSL que emplean los alumnos es de 2 Mbit/s (Telefónica España). No podemos ir a más porque estamos a una distancia algo importante de la central telefónica y el hilo de cobre permite sincronizar la ADSL a más velocidad.

    Pueden haber hasta unos 70 usuarios simultáneos y hay que tener presente que cuando una aula trabaja con una determinada temática las páginas web pueden ser muy repetitivas. De ahí otro interés de tener una caché local (squid).

    Es cierto que la documentación de pfSense es algo pobre, com vienes a decir al final de tu mensaje.

    Saludos,

    Josep Pujadas



  • gracias por la pronta respuesta pero como puedo montar un squid alterno a pfsense????
    podria montarlo en windows??? lo e usado solo en windows nt un squid version stable 13 delay polls
    nunca pude configurarlo para el ancho de banda asi que hice la migracion a pfsense con la ayuda de un amigo del foro endcoronel. pero si me gustaria tener un cache web en la red



  • ¡Hola!

    Sí se puede montar un squid con Windows, http://www.squid-cache.org/Download/binaries.dyn

    Pero es una lástima …

    ;-)

    Yo lo intentaría con FreeBSD o Linux, una solución mucho más estable, eficaz y libre de royalties. Porque además de squid luego llegará squidguard, dansguardian, sqstat, sarg, ... Todo esto son añadidos (mejoras) que podrás ir haciendo a tu squid, de forma totalmente LIBRE.

    http://www.google.com/search?hl=ca&q=como+empezar+freebsd&lr=

    Saludos,

    Josep Pujadas



  • gracias hermano por la informacion tengo una duda puedo autenticar a los usuarios por wifi?? y solo establecer que naveguen en horas nocturnas??? como tendria que hacer? colocare una antena sectorial de 180 grados y necesito saber esa informacion deseo que usen mi red solo desde las 7 de la noche hasta las 7 de la mañana del siguiente dia. señor bellera una pregunta mi conexion es de 1536 kbps regule traffic sharp a 512 y 256 respectivamente pfsense toma toda la conexion y la administra??? o solo toma lo que le estableci en la regla??? del ancho de banda? gracias por ser oportuno en mis dudas. saludos desde venezuela



  • ¡Hola!

    Mira las posibilidades que tiene Captive Portal. Puedes ir desde una autenficación de usuarios en el propio pfSense hasta un servidor FreeRadius (en el propio pfSense o fuera de él).

    En cuanto a Traffic Shaper las colas toman todo el tráfico disponible, normalmente no "cortan" el ancho de banda. Es decir, lo que configuras (en principio) es un reparto, no una restricción de ancho de banda.

    Si miras la explicación en http://www.bellera.cat/josep/pfsense/cabal_cs.html verás que hay parámetros que permiten "cortar" el caudal de una cola. Pero no debería ser lo habitual, lo lógico es hacer reparto.

    Saludos,

    Josep Pujadas



  • saludos hermano bellera necesito de una ayuda urgente explicare mi caso
    tengo un cyber de 12 maquinas mas actualmente 3 clientes externos en modo wifi a traves de un puente que hice con router ap en modo lan todo hasta ahora funciona perfecto y los usuarios navegan bien ojo no soy un experto en esta materia y curiosidad me a llevado a esto y a investigar en el mundo de las redes y servidores cortafuegos etc. gracias a la ayuda de un gran tecnico como lo es el amigo endcoronel y sus consejos e logrado muchos avances en tan poco tiempo pero al igual que muchos logra el exito en un determinado sistema necesita de estudio y tiempo dedicacion etc. ahora la red empieza a crecer y bueno hay que hacer los ajustes
    1 la seguridad de la red, aun no coloco el portal cautivo por mi falta de experiencia y ayuda tecnica asi que opte por las opciones sencillas
    2. modifique en traficc el modo de cola de la wan no conosco de bits ni de kbist eso me enreda asi que opte por % en su espesificacion, se asigno con el configurador que trae el mismo y esta predetermiando osea como queda despues del asistente solo modifique la wan en 95% a mi entender esa es el ancho de banda que toma de por si mejoro mucho en relacion a los 256 kb que tenia por defecto
    3. quisiera saber detenidamente como asigno una navegacion por horarios ya que deseo que 10 o mas usuarios naveguen mientras mi cyber esta cerrado.o osea desde 8 de la noche a 8 de la mañana.
    4. ley en las colas hermano bellera que usted a mano ajusto el traffic entiendo que eso esta en el manual y trabajo con los porcentajes directamente fue monitoreando y ajustando logicamente su red es mas grande que la mia pero mi duda es si debo respetar el 100 % osea 84 a 16%= en mi caso quedaron 25% a 25 % las cuatro opciones que trae en las quees
    5. deseo saber como aceptar solamente las mac colocadas en dhcp leases y que ninguna otra mac al menos que estes autorizada se conecte todo lo maneje pfsense por mac y por ip. ya me dieron el soporte para eliminar el p2p pero como hago para permitir el p2p de ares lite en horas nocturnas cuando hay menor cantidad de usuarios ya que esta comenzando la red a crecer son dudas de humilde forista a lo mejor es larga mis preguntas pero las tenia acumuladas ya que comence a sacar la red por aire. sin mas que hacer referencia me despido de usted quedando a sus gratas ordenes en venezuela, muchas gracias por toda la ayuda prestada.



  • ¡Hola!

    Tal com se explica en el tutorial los ajustes de la colas hay que hacerlos controlando que no haya pérdidas (drops) sobretodo en las colas acks, que son las de acuse de recibo, http://www.bellera.cat/josep/pfsense/imatges/queues_1.gif

    Activa la casilla "Deny unknown clients" para que tu DHCP no admita MAC no definidas,  http://www.bellera.cat/josep/pfsense/dhcp_cs.html#LAN

    En cuanto a horarios, he visto que se pueden establecer horarios para las reglas del cortafuegos pero es un tema en el que no he trabajado. A ver si algún otro participante del foro se anima a explicarnos cómo funciona …

    Saludos,

    Josep Pujadas



  • hola buenas tardes mi pregunta era la siguiente cobro un conjunto de puertos desde el 2300 hasta 2399 seria colocarlo de la siguiente forma 2300: 2399???? seria esa la mejor forma de colocarlo???en un alias o ya sea en rules directamente???



  • Por favor, mejor abrir un nuevo hilo para preguntar cosas nuevas …

    Si sólo vas a emplear el rango de puertos en una regla no tiene importancia. Pero si el rango de puertos lo vas a emplear en distintos sitios es más cómodo emplear un alias.

    Saludos,

    Josep Pujadas



  • @ataklan:

    saludos hermano bellera necesito de una ayuda urgente explicare mi caso
    tengo un cyber de 12 maquinas mas actualmente 3 clientes externos en modo wifi a traves de un puente que hice con router ap en modo lan todo hasta ahora funciona perfecto y los usuarios navegan bien ojo no soy un experto en esta materia y curiosidad me a llevado a esto y a investigar en el mundo de las redes y servidores cortafuegos etc. gracias a la ayuda de un gran tecnico como lo es el amigo endcoronel y sus consejos e logrado muchos avances en tan poco tiempo pero al igual que muchos logra el exito en un determinado sistema necesita de estudio y tiempo dedicacion etc. ahora la red empieza a crecer y bueno hay que hacer los ajustes
    1 la seguridad de la red, aun no coloco el portal cautivo por mi falta de experiencia y ayuda tecnica asi que opte por las opciones sencillas
    2. modifique en traficc el modo de cola de la wan no conosco de bits ni de kbist eso me enreda asi que opte por % en su espesificacion, se asigno con el configurador que trae el mismo y esta predetermiando osea como queda despues del asistente solo modifique la wan en 95% a mi entender esa es el ancho de banda que toma de por si mejoro mucho en relacion a los 256 kb que tenia por defecto
    3. quisiera saber detenidamente como asigno una navegacion por horarios ya que deseo que 10 o mas usuarios naveguen mientras mi cyber esta cerrado.o osea desde 8 de la noche a 8 de la mañana.
    4. ley en las colas hermano bellera que usted a mano ajusto el traffic entiendo que eso esta en el manual y trabajo con los porcentajes directamente fue monitoreando y ajustando logicamente su red es mas grande que la mia pero mi duda es si debo respetar el 100 % osea 84 a 16%= en mi caso quedaron 25% a 25 % las cuatro opciones que trae en las quees
    5. deseo saber como aceptar solamente las mac colocadas en dhcp leases y que ninguna otra mac al menos que estes autorizada se conecte todo lo maneje pfsense por mac y por ip. ya me dieron el soporte para eliminar el p2p pero como hago para permitir el p2p de ares lite en horas nocturnas cuando hay menor cantidad de usuarios ya que esta comenzando la red a crecer son dudas de humilde forista a lo mejor es larga mis preguntas pero las tenia acumuladas ya que comence a sacar la red por aire. sin mas que hacer referencia me despido de usted quedando a sus gratas ordenes en venezuela, muchas gracias por toda la ayuda prestada.

    hola al igual que tu yo tenia mis dudas yo trabajo en mi red de distribucion sip con 40 usuarios monte pfsense controlo las descargas de los p2p trabaja optimo mi portal cautivo con usuarios y demas  monte el squid transparente y ahora voy por un vpn regule youtube y sus descargas tambien soy de venezuela lei todo tutorio de bellera al pelo y esta excelente  …..  alli esta la soluvion a tus problemas



  • @nucleolan:

    Bueno despues de estar varios dias renegando pude limitar el puerto 80, pero sin el wizzard ya que este me traia conflictos.
    ¿Por que? no se pero haciendo los mismos pasos con el wizard no me anda, una lastima.
    Ahora la siguiente consulta es; Instale el paquete squid, y lo que quiero es que lo que este alojado en el cache se transfiera a velocidad lan, y los paquetes que no los haga obviamente a la velocidad marcada en con el puerto 80. ¿Que tendria que hacer?

    Y como lo hicistes amigo?? tengo el mismo problema


Locked