Firewall: Traffic Shaper: Limiter



  • Я уже вымучался. Первый раз применив правило, пользователь жаловался, что скорость упала, но через неделю вдруг ограничение перестало работать (
    Канал у меня 8/8.
    Пробовал и floating и lan. Протоколы уже поставил any. Reset States делал. Да что уже говорить, ребутил сервак. Прокси прозрачный, он у всех и dns и gateway. ipv6 весь забанен. Что делать? Ума не приложу (













  • ставь коммутатор и реж на нём скорость, на порту. PfSense очень плохо отрабатывает многопировые соединения (торренты…)
    Очень бородатая проблема.

    Стесняюсь спросить. А кто куда чего качает? Первый скриншот - это LAN? Нафига такой набор подсетей на одном лане?



  • @derwin:

    ставь коммутатор и реж на нём скорость, на порту. PfSense очень плохо отрабатывает многопировые соединения (торренты…)
    Очень бородатая проблема.

    Стесняюсь спросить. А кто куда чего качает? Первый скриншот - это LAN? Нафига такой набор подсетей на одном лане?

    Странно. А у меня еще с версии 2.0 все отлично режится и ограничивается (и торренты и др. трафик), ЧЯДнТ ? Может не стоит сразу грешить на pfsense, а ?

    У ТС неправильные настройки - проблема в этом.

    P.s. Настоятельно советую создавать правила с Лимитером во Floating rules, т.к. они обрабатываются первее правил на конкретных интерфейсах.



  • На мой взгляд, на floating - 1.все правила убрать!
    2. В правилах можно одновременно резать up/down bandwith
    3. Оставить одно правило- разобраться как работает затем написать для остальных хостов.



  • 2 pochkaev
    Дело в том, что первый скрин ТС - это скрин правил fw на LAN. Советую ТС удалить все правила кроме последнего.
    И, повторюсь, настраивать правила Limiter-а во Floating rules!

    3. Оставить одно правило- разобраться как работает затем написать для остальных хостов.

    Всецело поддерживаю.



  • @pochkaev:

    На мой взгляд, на floating - 1.все правила убрать!
    2. В правилах можно одновременно резать up/down bandwith
    3. Оставить одно правило- разобраться как работает затем написать для остальных хостов.

    1. ПРобовал и флоатинг. КОнкретно себя резал. Ни чего произошло.
    2. Режу одноверменно и то и то, просто если соединение инициализирует к примеру не клиент, а устройство из вне, то правил нужно два.
    3. Правил много, по причине того что у меня пул не весь и он разбит еще. Так я не перебираю все адреса по одному, а работаю с максимально малым количеством что возможно "подсетей".
    Попробую еще завтра флоатинг.
    В лимитере указывать соурцы и дестэнайшн надо? или ставить ноне?



  • Для вашего случая надо действительно floating

    Рекомендую прочитать https://doc.pfsense.org/index.php/What_are_Floating_Rules внимательно!

    в шейперах ничего писать не надо  (src, dst)



  • в шейперах ничего писать не надо  (src, dst)

    Верно, если задача динамически и поровну разделить канал между всеми участниками группы\алиаса.

    2. Режу одноверменно и то и то, просто если соединение инициализирует к примеру не клиент, а устройство из вне, то правил нужно два.

    Правило для внутренних адресов  пишется одно. В настройках правила указываются две трубы - up и down.



  • @werter:

    в шейперах ничего писать не надо  (src, dst)

    Верно, если задача динамически и поровну разделить канал между всеми участниками группы\алиаса.

    2. Режу одноверменно и то и то, просто если соединение инициализирует к примеру не клиент, а устройство из вне, то правил нужно два.

    Правило для внутренних адресов  пишется одно. В настройках правила указываются две трубы - up и down.

    По первому понял. ПО второму есть вопрос. Во флоатинге необходимо выбирать интефейс? или нет, если выбирать, то какой. Ставлю только ип4, а алиасы? В сорцах или в назначении?



  • Разобрался! Во флоатинг вальнул правило и все обратно заработало. Правила так и оставил в лане.
    Но как я понимаю:
    1. В лимитера указывается весь канал и все кому он будет указан будут его делить? Т.е. укажу 512 туда и обратно к примеру для 3-х клиентов и 3 клиента будут пользовать 512, а не каждому по 512, т.е. если я забью канал, то остальным будет куль? Режется на клиента или на отдельное соединени? Я бы хотел Что бы в конкретном алиасе каждому пользователю не более 512 было. Как я понимаю надо брать и ставить source и destination. Но какой куда? Был бы толковый ман, правда прочитал бы. Хоть на английском.
    2. Еще пользователи любят торрентом качать, а он может и udp, то соотвественно у меня в правилах все протоколы. Но тогда вопрос, как мне быть с Layer7? У меня там запрещенные адреса. Создавать все те же адреса с TCP и layer и отдельно остальные?


Log in to reply