Limiter не ограничивает один Ip



  • есть правила на floating для ограничения скорости


    сверху этого правила других правил по видо-измененым свойствам нет, то есть можно считать что у этого правила приоритет такой же как и у выше стоящих.
    Ниже такие же правила, только Ip другие(из других lan)
    (На скриншоте показано, что для этого Ip назначен gateway и limiter



    Проблема в том, что для всех это правило отрабатывает как надо, а для одно ip нет, соответсвенно он получает интернета сколько хочет

    вот его сессии

    Все остальные отрабатывают как надо и в торентах и спидтестом, и ftp, и тд. Как быть, как ограничить?

    p.s. В начале ограничивал скорость другим правилом, потом возникла эта проблема и исправил как указанно выше

    (так было раньше)



  • мнения будут?



  • @bill_open:

    мнения будут?

    Я человек новый в этом плане, но думаю можно сделать несколько групп с разными IP адресами, например вот так https://cloud.mail.ru/public/a4ce179554f3/pfSense.rar
    Поясняю, делаются (Firewall: Aliases) группы, там прописываются IP пользователей и у каждой группы свои адреса, потом в (Firewall: Rules) указываешь вместо IP пользователя сразу всю группу.
    Простой вопрос, если у тебя будет 200 компов, ты тоже будешь прописывать каждому скорость? ;)
    И на мой взгляд, не нужно пользователям открывать полный доступ *****, открой только нужные порты и интернет канал освободишь от не нужного трафика, как у меня.



  • Я человек новый в этом плане, но думаю можно сделать несколько групп с разными IP адресами, например вот так [url]https://cloud.mail.ru/public/a4ce179554f3/pfSense.rar[/url]
    Поясняю, делаются (Firewall: Aliases) группы, там прописываются IP пользователей и у каждой группы свои адреса, потом в (Firewall: Rules) указываешь вместо IP пользователя сразу всю группу.
    

    Такой вариант не приемлем, так как ограничение скорости будет применяться только для группы, то есть один из участников группы забивает всю ширину каналу назначенную на группу, остальные ждут и отдыхают.

     Простой вопрос, если у тебя будет 200 компов, ты тоже будешь прописывать каждому скорость? ;)
    
    

    У меня > 500))) И да, прописал, тебе даю подсказку, pfsense хранит свой конфиг в xml файле, любой текстовый редактор работает с ним на ура.

     И на мой взгляд, не нужно пользователям открывать полный доступ *****, открой только нужные порты и интернет канал освободишь от не нужного трафика, как у меня.
    
    

    Нужно. Пользователи есть как и статичные, так, и залетные, какой им там трафик нужен-я не знаю.

    p.s. Жду еще мнения)



  • Такой вариант не приемлем, так как ограничение скорости будет применяться только для группы, то есть один из участников группы забивает всю ширину каналу назначенную на группу, остальные ждут и отдыхают.

    Неверное утверждение. Зависит от того , как напишите правило - limiter умеет делить динамически канал на всех в группе и один пол-ль при этом не сможет уложить его.



  • Да, такой вариант я в первых темах описывал, как возможный, но зачем? когда можно каждому прописать. И ребята, вопрос был совершенно ни тот который вы обсуждаете. Жду мнения!



  • будут еще мнения?



  • @bill_open:

    будут еще мнения?

    В лимитере в группе для up и для down поля совпадают "destination' указано, так задумано или в этом ошибка?
    Я когда подобные вещи делал, то указывал в одном destination, а в другом source adress



  • ПО ГЛАВНОЙ ТЕМЕ:
    Определил, что limiter не умеет в моей реализации ограничивать https потоки.(нашел того, кто выкачивает сверх лимита, оказалось, что у него по https идет трафик, затем тестово на выборочной машине с модулировал аналогичную ситуацию, оказалось, что моя конфигурация не ограничивает https)

    @DasTieRR:

    @bill_open:

    будут еще мнения?

    В лимитере в группе для up и для down поля совпадают "destination' указано, так задумано или в этом ошибка?
    Я когда подобные вещи делал, то указывал в одном destination, а в другом source adress

    В ПРОДОЛЖЕНИЕ и КАК ОТВЕТ НА ВАШ ПОСТ:
    когда выбираешь source, limiter перестает ограничивать torrent.
    Более того, есть статья где парень описывает как ограничить все и всех(почти как вы и говорите).
    http://aubreykloppers.wordpress.com/2013/02/07/pfsense-per-ip-traffic-shaping/
    эта статья помогла мне решить проблему по ограничению https трафика, но в такой реализации торрент трафик не ограничивается.

    Тоесть по статье делаем на каждый ip по 2 правила и еще одно как у меня, тогда будет счастье. Такая конфигурация пугает, жду мнения.



  • layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!



  • Ваша идея с созданием для каждого из 500 хостов отдельной "трубы" - бред.
    Limiter умеет ограничивать\делить скорость либо ДИНАМИЧЕСКИ НА ВСЕХ, либо жестко НА КАЖДЫЙ.

    И ему все равно какой трафик шейпить\лимитировать . В зависимости от написанных правил fw, конечно.

    P.s. Здесь человек режет канал на всех поровну - http://www.gridstorm.net/pfsense-traffic-limiting-fair-share/ двумя пайпами.
    А здесь - каждому IP свою трубу - http://stackoverflow.com/questions/14324115/pfsense-limit-traffic-per-ip-inside-a-subnet :

    If I understand you correctly, yes you can. Very easy steps I might add.

    Under Firewall>Traffic Shaper>Limiter, create a new limiters with a mask of "Destination" for download,and "Source" for upload.

    Now create a Firewall Rule and under the Advanced Features> In/Out, specify the limiters you created. This will create a limiter per IP.

    Вот еще на каждый адрес явно - https://forum.pfsense.org/index.php?topic=53790.0 :

    I'm pretty sure what you're wanting to do is covered with the use of Limiter Masks.  This will be similar to what awesomo said (and partly copied from it)

    Go to the Firewall>>>Traffic Shaper option

    Create a new limiter, make sure Enable is checked, name it "500dest", set bandwidth to 500Kbit/s, set mask to destination. Save it.

    Create another limiter, make sure Enable is checked, name it "500src", set bandwidth to 500Kbit/s, set mask to source. Save it.

    Make sure to apply changes.

    Create an alias with all the ip's you want in Firewall>>> Aliases

    Name it, save it.

    Apply changes.

    Go to firewall>>>Rules>>>LAN

    Create a new rule. Protocol type ANY, Set the alias as the source, scroll down click advanced next to in/out, set the first to 500src, the second to 500dest.
    Make sure your new rule is higher than any default allow out.

    Apply changes and test it out.

    Alternatively you could edit the LAN default allow out and add the In/Out option there and it would apply to every host on the LAN individually (each host individually limited to 500Kbps/500Kbps)..

    P.p.s. У вас в настройках правил floating rules в direction указан явно in - зачем? И зачем Apply immediately ? Вы не будете далее рисовать правила (на LAN) для этих адресов, т.е. что-то запрещать или разрешать ?

    Сдается мне, что Вы сами себя перехитрили в настройках. И не забывайте делать Reset states!



  • @ghoser:

    layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!

    Замечание правильное. Обсуждалось ранее, вариант не приемлем.



  • werter, спасибо за подсказку насчет одного правило для всех, попробую проварьировать с битностью маски подсети в limiter. По поводу source на upload, я такой вариант пробовал на других объектах. минус в том, что не ограничивается торрент.
    то есть, если использовать source mask для upload и destination mask для download, то ограничивается весь траффик, кроме торрент~~(у меня дежавю, я уже это объяснял кому то)~~
    торрент траффик можно ограничить только destination mask для upload и destination mask для download.

    жду мнения.



  • Ребят, выложите кто нибудь действительно рабочий вариант limiter, что бы и торренты ограничивал, и https соединения тоже.
    Эти варианты не предлагайте:
    Вариант№1
    limiter1
    name:up
    mask:source

    limiter2
    name:down
    mask:destination

    rule:
    Interface:LAN
    Protocol:any
    Source:alias
    Destination:any
    Gateway:failover_wan_wan2
    In/Out:up/down

    Этот вариант ограничивает весь трафик кроме торрент трафика

    Вариант№2
    limiter1
    name:down
    mask:destination

    limiter2
    name:down1
    mask:destination

    rule:
    Interface:LAN
    Protocol:any
    Source:alias
    Destination:any
    Gateway:failover_wan_wan2
    In/Out:down/down1

    Этот вариант ограничивает все, в том числе торрент, но ни может ограничить https трафик.



  • Up



  • Up



  • РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.



  • @bill_open:

    РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

    Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.

    т.е. у меня правила такие -
    ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
    и следующее правило
    ограничение в 1 мб для всей локалки для всех остальных портов

    как лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.



  • @DasTieRR:

    @bill_open:

    РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.

    Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.

    т.е. у меня правила такие -
    ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
    и следующее правило
    ограничение в 1 мб для всей локалки для всех остальных портов

    как лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.

    Спасибо за ответ, но твоя реализация мне не подходит. Меня интересует ограничение для каждого ip с возможностью ограничения p2p и https трафика



  • А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.



  • Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?



  • @werter:

    Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

    Да, должен, я тоже удивился. Первая мысль была, что у него таблица fw повреждена и правило просто не применяется.
    Надеюсь ТС напишет какой провести тест для https, я его повторю.



  • Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
    Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.



  • @DasTieRR:

    А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.

    через приложение yandex disk на выкачку в облако.
    По state видно, что yandex disk использует только 443 порт для транспорта.



  • @werter:

    Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?

    речь идет не о L7. limiter не может ограничить одновременно торрент и https, по крайней мере у меня не получается это реализовать.



  • @werter:

    Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
    Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.

    Если проведение вами тестов с yandex disk ничего не даст, то так и сделаю.
    p.s. как и в предыдущем посте, yandex disk это одно из приложений которое можно проверить. так же не всегда правильно работает gateway в fw, к примеру, если запустить с сайта(забыл адрес ресурса, то ли ralink, или dlink или realtek, не помню…), то он дает скачку по 443 порту и fw не смотрит на указанный gw и пускает весь трафик по default gateway в системе.



  • Результат моего теста такой
    Во время теста ширина входящего канала была 5 мб.
    Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
    Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.

    На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.

    В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).

    Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
    Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
    Лог fw почитайте, если есть проблема с ним, должен там что-то писать.



  • Логи чисты. Хотел дополнить предыдущий свой пост, что на сайте интел скачка идет по 443, но видимо все в корне ни так. буду копать.



  • @DasTieRR:

    Результат моего теста такой
    Во время теста ширина входящего канала была 5 мб.
    Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
    Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.

    На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.

    В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).

    Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
    Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
    Лог fw почитайте, если есть проблема с ним, должен там что-то писать.

    Cкинь мне пожалуйста в личку свои настройки лимитера и правила для них fw.



  • Вот скриншоты правил












  • 2 DasTieRR
    Все же лучше правила лимитера во флоатинг рулез помещать, ИМХО.



  • Спасибо DasTieRR.
    Этот вариант, я описывал в этой теме или в предыдущей, так же я описал его минусы и плюсы, а именно:
    минус
    Этот вариант лимитера (mask none) нельзя применить для каждого клиента(ip) индивидуально. Если использовать такой лимитер в более чем одном правиле в fw(для более одного ip), то все эти ip будут между собой делить эту скорость.
    плюс
    Этот вариант лимитера отрабатывает как надо.

    заключение
    Данный вариант реализации ограничения скорости приемлем для самых простых схем.
    Еще раз спасибо DasTieRR, но такой вариант я указывал как неприемлемый.



  • Приветствую.

    Прикрепил скрин−шоты своих настроек. Работает без проблемм − все ограничивает как и прописано. Правила должны работать в паре. Если заменить "Office net" (в обеих таблицах) на либо алиас где прописаны адресса которые надо ограничить, либо на просто один аддресс, то будет ограничивать либо алиас, либо IP соответственно. Лично проверял.

    Первый скрин − FW Rules -> Floating
    Второй скрин − FW Rules -> Office

    Лимитер без указания маски.

    ![Screen Shot 2014-09-27 at 11.46.18 AM.png](/public/imported_attachments/1/Screen Shot 2014-09-27 at 11.46.18 AM.png)
    ![Screen Shot 2014-09-27 at 11.46.18 AM.png_thumb](/public/imported_attachments/1/Screen Shot 2014-09-27 at 11.46.18 AM.png_thumb)
    ![Screen Shot 2014-09-27 at 11.46.37 AM.png](/public/imported_attachments/1/Screen Shot 2014-09-27 at 11.46.37 AM.png)
    ![Screen Shot 2014-09-27 at 11.46.37 AM.png_thumb](/public/imported_attachments/1/Screen Shot 2014-09-27 at 11.46.37 AM.png_thumb)



  • @cnd.fflv:

    Приветствую.

    Прикрепил скрин−шоты своих настроек. Работает без проблемм − все ограничивает как и прописано. Правила должны работать в паре. Если заменить "Office net" (в обеих таблицах) на либо алиас где прописаны адресса которые надо ограничить, либо на просто один аддресс, то будет ограничивать либо алиас, либо IP соответственно. Лично проверял.

    Первый скрин − FW Rules -> Floating
    Второй скрин − FW Rules -> Office

    Лимитер без указания маски.

    Приветствую, спасибо за поддержание темы. Выложи подробно одно из правил во floating, не ясно как настроены у тебя direction и interface.
    Еще вопрос, вы проверяли  как данная связка отрабатывает при указании в gateway группу: "failover WAN"? А то при обращении к 443 порту, pfsense отправляет тебя через маршрут по умолчанию в системе, а не по явно указанному.
    Еще момент.

    Если заменить "Office net" (в обеих таблицах) на либо алиас где прописаны адресса которые надо ограничить, либо на просто один аддресс, то будет ограничивать либо алиас, либо IP соответственно. Лично проверял

    Такой вариант ограничивает скорость всей группы ip адресов (альясов) поровну, но не дает каждому ip указанную скорость. Так же, если применить одни и те же лимитеры в нескольких правилах, то у всех у кого стоят такие лимитеры будут делить между собой данную скорость поровну.

    p.s. Я могу ошибаться, так как не пробовал такую связку дублирования правил на лан и флоатинг(пробовал только на ЛАН и ЛАН). Отпишусь о результатах, как только автор выложит скрин настроек во флоатинг. Еще раз благодарю его за содействие.



  • "failover WAN" не пробовал, сказать ничего по этому поводу не могу.

    Если надо ограничивать только один IP замените "Office net" в обеих таблицах только на этот IP.

    Алиасов можете создавать сколько захотите − можете сортировать ваших клиентов там как вам угодно. Тоже самое и с лимитерами − сколько надо столько и создайте.

    Если клиент принадлежит алиасу и скорость для всего алиаса должна быть одна, а именно для этого клиента другая − создайте пару правил (floating-lan) для клиента и поставте их ПЕРЕД (выше) правилами для этого алиаса. FW выполнит их первыми и не пойдет дальше.





    ![Office (LAN)-1.png](/public/imported_attachments/1/Office (LAN)-1.png)
    ![Office (LAN)-1.png_thumb](/public/imported_attachments/1/Office (LAN)-1.png_thumb)
    ![Office (LAN)-2.png](/public/imported_attachments/1/Office (LAN)-2.png)
    ![Office (LAN)-2.png_thumb](/public/imported_attachments/1/Office (LAN)-2.png_thumb)





  • @cnd.fflv:

    "failover WAN" не пробовал, сказать ничего по этому поводу не могу.

    Если надо ограничивать только один IP замените "Office net" в обеих таблицах только на этот IP.

    Алиасов можете создавать сколько захотите − можете сортировать ваших клиентов там как вам угодно. Тоже самое и с лимитерами − сколько надо столько и создайте.

    Если клиент принадлежит алиасу и скорость для всего алиаса должна быть одна, а именно для этого клиента другая − создайте пару правил (floating-lan) для клиента и поставте их ПЕРЕД (выше) правилами для этого алиаса. FW выполнит их первыми и не пойдет дальше.

    ну все так же как я и предполагал - один limiter для одного Ip или группы.
    Сколько у вас лимитеров? Вопрос к тому, что я читал на этом форуме, что макс кол-во лимитеров которое можно создать не более 30шт.
    Думаю, что в моем варианте, а я хочу дать 500 пк равную скорость, такой вариант самый не удобный для меня. Почему, потому что нужно создать хоть и не ручками, но все же 500 правил в флоатинг, потом 500 на лан1 и плюс 500*2 ЛИМИТЕРОВ. Боязнь заключается в том, что MBUF Usage может не справится, у меня 26% (34622/131072) и это при ~500правил на fw и 10limiter.



  • тогда можо попробовать вариант с Captive Portal. Настроить его так, чтобы клиенты могли проходить его без авторизации и указать ограничение скорости для каждого клиента. Теотетически СР умеет это делать (скрин−шот).

    ![Screen Shot 2014-09-29 at 3.26.00 PM.png](/public/imported_attachments/1/Screen Shot 2014-09-29 at 3.26.00 PM.png)
    ![Screen Shot 2014-09-29 at 3.26.00 PM.png_thumb](/public/imported_attachments/1/Screen Shot 2014-09-29 at 3.26.00 PM.png_thumb)



  • @cnd.fflv:

    тогда можо попробовать вариант с Captive Portal. Настроить его так, чтобы клиенты могли проходить его без авторизации и указать ограничение скорости для каждого клиента. Теотетически СР умеет это делать (скрин−шот).

    вариант интересный, у меня как раз настроен он на одном интерфейсе, только он не прозрачный а с авторизацией, которая не умеет перехватывать при запросах на https(т.е. если ты открываешь google, то у тебя не откроется стартовая страница CP, если только ты не пропишешь авторизацию по https, а сертификат нужен валидный, а то у клиентов будет на весь экран ошибка безопасности))))) ГРАБЛИ…..блин!!!!!!!!
    Так же минус в том, что если ты настроил его на авторизацию по чему угодно, то на всех интерфейсах будем доступен только такой вариант авторизации. Т.е. на лан1 по логину и паролю, а на лан2 ты хочешь прозрачную, то ничего не выйдет, какой метод выбрал такой метод везде и будет работать. проверил, ошибочка, сорри за оффтоп)))



  • Уважаемые модераторы извините, но тему я поднимаю снова и закрывать без решения вопроса не хочу, дабы вопрос все еще открытый.



  • up