Limiter не ограничивает один Ip
-
есть правила на floating для ограничения скорости
сверху этого правила других правил по видо-измененым свойствам нет, то есть можно считать что у этого правила приоритет такой же как и у выше стоящих.
Ниже такие же правила, только Ip другие(из других lan)
(На скриншоте показано, что для этого Ip назначен gateway и limiter
Проблема в том, что для всех это правило отрабатывает как надо, а для одно ip нет, соответсвенно он получает интернета сколько хочет
вот его сессии
Все остальные отрабатывают как надо и в торентах и спидтестом, и ftp, и тд. Как быть, как ограничить?p.s. В начале ограничивал скорость другим правилом, потом возникла эта проблема и исправил как указанно выше
(так было раньше) -
мнения будут?
-
мнения будут?
Я человек новый в этом плане, но думаю можно сделать несколько групп с разными IP адресами, например вот так https://cloud.mail.ru/public/a4ce179554f3/pfSense.rar
Поясняю, делаются (Firewall: Aliases) группы, там прописываются IP пользователей и у каждой группы свои адреса, потом в (Firewall: Rules) указываешь вместо IP пользователя сразу всю группу.
Простой вопрос, если у тебя будет 200 компов, ты тоже будешь прописывать каждому скорость? ;)
И на мой взгляд, не нужно пользователям открывать полный доступ *****, открой только нужные порты и интернет канал освободишь от не нужного трафика, как у меня. -
Я человек новый в этом плане, но думаю можно сделать несколько групп с разными IP адресами, например вот так [url]https://cloud.mail.ru/public/a4ce179554f3/pfSense.rar[/url] Поясняю, делаются (Firewall: Aliases) группы, там прописываются IP пользователей и у каждой группы свои адреса, потом в (Firewall: Rules) указываешь вместо IP пользователя сразу всю группу.
Такой вариант не приемлем, так как ограничение скорости будет применяться только для группы, то есть один из участников группы забивает всю ширину каналу назначенную на группу, остальные ждут и отдыхают.
Простой вопрос, если у тебя будет 200 компов, ты тоже будешь прописывать каждому скорость? ;)
У меня > 500))) И да, прописал, тебе даю подсказку, pfsense хранит свой конфиг в xml файле, любой текстовый редактор работает с ним на ура.
И на мой взгляд, не нужно пользователям открывать полный доступ *****, открой только нужные порты и интернет канал освободишь от не нужного трафика, как у меня.
Нужно. Пользователи есть как и статичные, так, и залетные, какой им там трафик нужен-я не знаю.
p.s. Жду еще мнения)
-
Такой вариант не приемлем, так как ограничение скорости будет применяться только для группы, то есть один из участников группы забивает всю ширину каналу назначенную на группу, остальные ждут и отдыхают.
Неверное утверждение. Зависит от того , как напишите правило - limiter умеет делить динамически канал на всех в группе и один пол-ль при этом не сможет уложить его.
-
Да, такой вариант я в первых темах описывал, как возможный, но зачем? когда можно каждому прописать. И ребята, вопрос был совершенно ни тот который вы обсуждаете. Жду мнения!
-
будут еще мнения?
-
будут еще мнения?
В лимитере в группе для up и для down поля совпадают "destination' указано, так задумано или в этом ошибка?
Я когда подобные вещи делал, то указывал в одном destination, а в другом source adress -
ПО ГЛАВНОЙ ТЕМЕ:
Определил, что limiter не умеет в моей реализации ограничивать https потоки.(нашел того, кто выкачивает сверх лимита, оказалось, что у него по https идет трафик, затем тестово на выборочной машине с модулировал аналогичную ситуацию, оказалось, что моя конфигурация не ограничивает https)будут еще мнения?
В лимитере в группе для up и для down поля совпадают "destination' указано, так задумано или в этом ошибка?
Я когда подобные вещи делал, то указывал в одном destination, а в другом source adressВ ПРОДОЛЖЕНИЕ и КАК ОТВЕТ НА ВАШ ПОСТ:
когда выбираешь source, limiter перестает ограничивать torrent.
Более того, есть статья где парень описывает как ограничить все и всех(почти как вы и говорите).
http://aubreykloppers.wordpress.com/2013/02/07/pfsense-per-ip-traffic-shaping/
эта статья помогла мне решить проблему по ограничению https трафика, но в такой реализации торрент трафик не ограничивается.Тоесть по статье делаем на каждый ip по 2 правила и еще одно как у меня, тогда будет счастье. Такая конфигурация пугает, жду мнения.
-
layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!
-
Ваша идея с созданием для каждого из 500 хостов отдельной "трубы" - бред.
Limiter умеет ограничивать\делить скорость либо ДИНАМИЧЕСКИ НА ВСЕХ, либо жестко НА КАЖДЫЙ.И ему все равно какой трафик шейпить\лимитировать . В зависимости от написанных правил fw, конечно.
P.s. Здесь человек режет канал на всех поровну - http://www.gridstorm.net/pfsense-traffic-limiting-fair-share/ двумя пайпами.
А здесь - каждому IP свою трубу - http://stackoverflow.com/questions/14324115/pfsense-limit-traffic-per-ip-inside-a-subnet :If I understand you correctly, yes you can. Very easy steps I might add.
Under Firewall>Traffic Shaper>Limiter, create a new limiters with a mask of "Destination" for download,and "Source" for upload.
Now create a Firewall Rule and under the Advanced Features> In/Out, specify the limiters you created. This will create a limiter per IP.
Вот еще на каждый адрес явно - https://forum.pfsense.org/index.php?topic=53790.0 :
I'm pretty sure what you're wanting to do is covered with the use of Limiter Masks. This will be similar to what awesomo said (and partly copied from it)
Go to the Firewall>>>Traffic Shaper option
Create a new limiter, make sure Enable is checked, name it "500dest", set bandwidth to 500Kbit/s, set mask to destination. Save it.
Create another limiter, make sure Enable is checked, name it "500src", set bandwidth to 500Kbit/s, set mask to source. Save it.
Make sure to apply changes.
Create an alias with all the ip's you want in Firewall>>> Aliases
Name it, save it.
Apply changes.
Go to firewall>>>Rules>>>LAN
Create a new rule. Protocol type ANY, Set the alias as the source, scroll down click advanced next to in/out, set the first to 500src, the second to 500dest.
Make sure your new rule is higher than any default allow out.Apply changes and test it out.
Alternatively you could edit the LAN default allow out and add the In/Out option there and it would apply to every host on the LAN individually (each host individually limited to 500Kbps/500Kbps)..
P.p.s. У вас в настройках правил floating rules в direction указан явно in - зачем? И зачем Apply immediately ? Вы не будете далее рисовать правила (на LAN) для этих адресов, т.е. что-то запрещать или разрешать ?
Сдается мне, что Вы сами себя перехитрили в настройках. И не забывайте делать Reset states!
-
layer 7 есть для ограничения торрентов, только не фильтрует шифрованный трафик!
Замечание правильное. Обсуждалось ранее, вариант не приемлем.
-
werter, спасибо за подсказку насчет одного правило для всех, попробую проварьировать с битностью маски подсети в limiter. По поводу source на upload, я такой вариант пробовал на других объектах. минус в том, что не ограничивается торрент.
то есть, если использовать source mask для upload и destination mask для download, то ограничивается весь траффик, кроме торрент~~(у меня дежавю, я уже это объяснял кому то)~~
торрент траффик можно ограничить только destination mask для upload и destination mask для download.жду мнения.
-
Ребят, выложите кто нибудь действительно рабочий вариант limiter, что бы и торренты ограничивал, и https соединения тоже.
Эти варианты не предлагайте:
Вариант№1
limiter1
name:up
mask:sourcelimiter2
name:down
mask:destinationrule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:up/downЭтот вариант ограничивает весь трафик кроме торрент трафика
Вариант№2
limiter1
name:down
mask:destinationlimiter2
name:down1
mask:destinationrule:
Interface:LAN
Protocol:any
Source:alias
Destination:any
Gateway:failover_wan_wan2
In/Out:down/down1Этот вариант ограничивает все, в том числе торрент, но ни может ограничить https трафик.
-
Up
-
Up
-
РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.
-
РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.
Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.
т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портовкак лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.
-
РЕБЯТА! Понимаю, что навязывать это плохо, но давайте, поделитесь со мной своими реализациями ограничений в limiter.
Да никто тут ничего не скрывает. Но схемы то у всех разные. У меня в одном офисе начали качать, я сделал две трубы 4 и 1 мб на закачку и сделал 2 правила для 80, 443, днс и т.п. web порты - 4 мб и всё, все остальные порты в трубу - 1 мб. Делал пару тестовых ограничений и тестил их speedtest.net, вроде работало, но https не проверял, сам торренты тоже не проверял, но качать перестали (канал больше не забивается на 100%), но может просто уже скачали что хотели.
т.е. у меня правила такие -
ограничение в 4 мб для ВСЕЙ локалки (для веб портов)
и следующее правило
ограничение в 1 мб для всей локалки для всех остальных портовкак лимитер делит это всё внутри трубы клиентам я не знаю (сам не проверял одновременный сёрфинг с нескольких компов), но на инет никто не жаловался.
Спасибо за ответ, но твоя реализация мне не подходит. Меня интересует ограничение для каждого ip с возможностью ограничения p2p и https трафика
-
А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.