Firewall: Traffic Shaper: Limiter

sirota

Я уже вымучался. Первый раз применив правило, пользователь жаловался, что скорость упала, но через неделю вдруг ограничение перестало работать (
Канал у меня 8/8.
Пробовал и floating и lan. Протоколы уже поставил any. Reset States делал. Да что уже говорить, ребутил сервак. Прокси прозрачный, он у всех и dns и gateway. ipv6 весь забанен. Что делать? Ума не приложу (

1.JPG_thumb

2.JPG_thumb

3.JPG_thumb

4.JPG_thumb

5.JPG_thumb

6.JPG_thumb

derwin

ставь коммутатор и реж на нём скорость, на порту. PfSense очень плохо отрабатывает многопировые соединения (торренты…)
Очень бородатая проблема.

Стесняюсь спросить. А кто куда чего качает? Первый скриншот - это LAN? Нафига такой набор подсетей на одном лане?

werter

@derwin:

ставь коммутатор и реж на нём скорость, на порту. PfSense очень плохо отрабатывает многопировые соединения (торренты…)
Очень бородатая проблема.

Стесняюсь спросить. А кто куда чего качает? Первый скриншот - это LAN? Нафига такой набор подсетей на одном лане?

Странно. А у меня еще с версии 2.0 все отлично режится и ограничивается (и торренты и др. трафик), ЧЯДнТ ? Может не стоит сразу грешить на pfsense, а ?

У ТС неправильные настройки - проблема в этом.

P.s. Настоятельно советую создавать правила с Лимитером во Floating rules, т.к. они обрабатываются первее правил на конкретных интерфейсах.

pochkaev

На мой взгляд, на floating - 1.все правила убрать!
2. В правилах можно одновременно резать up/down bandwith
3. Оставить одно правило- разобраться как работает затем написать для остальных хостов.

werter

2 pochkaev
Дело в том, что первый скрин ТС - это скрин правил fw на LAN. Советую ТС удалить все правила кроме последнего.
И, повторюсь, настраивать правила Limiter-а во Floating rules!

3. Оставить одно правило- разобраться как работает затем написать для остальных хостов.

Всецело поддерживаю.

sirota

@pochkaev:

На мой взгляд, на floating - 1.все правила убрать!
2. В правилах можно одновременно резать up/down bandwith
3. Оставить одно правило- разобраться как работает затем написать для остальных хостов.

1. ПРобовал и флоатинг. КОнкретно себя резал. Ни чего произошло.
2. Режу одноверменно и то и то, просто если соединение инициализирует к примеру не клиент, а устройство из вне, то правил нужно два.
3. Правил много, по причине того что у меня пул не весь и он разбит еще. Так я не перебираю все адреса по одному, а работаю с максимально малым количеством что возможно "подсетей".
Попробую еще завтра флоатинг.
В лимитере указывать соурцы и дестэнайшн надо? или ставить ноне?

pochkaev

Для вашего случая надо действительно floating

Рекомендую прочитать https://doc.pfsense.org/index.php/What_are_Floating_Rules внимательно!

в шейперах ничего писать не надо (src, dst)

werter

в шейперах ничего писать не надо (src, dst)

Верно, если задача динамически и поровну разделить канал между всеми участниками группы\алиаса.

2. Режу одноверменно и то и то, просто если соединение инициализирует к примеру не клиент, а устройство из вне, то правил нужно два.

Правило для внутренних адресов пишется одно. В настройках правила указываются две трубы - up и down.

sirota

@werter:

в шейперах ничего писать не надо (src, dst)

Верно, если задача динамически и поровну разделить канал между всеми участниками группы\алиаса.

2. Режу одноверменно и то и то, просто если соединение инициализирует к примеру не клиент, а устройство из вне, то правил нужно два.

Правило для внутренних адресов пишется одно. В настройках правила указываются две трубы - up и down.

По первому понял. ПО второму есть вопрос. Во флоатинге необходимо выбирать интефейс? или нет, если выбирать, то какой. Ставлю только ип4, а алиасы? В сорцах или в назначении?

sirota

Разобрался! Во флоатинг вальнул правило и все обратно заработало. Правила так и оставил в лане.
Но как я понимаю:
1. В лимитера указывается весь канал и все кому он будет указан будут его делить? Т.е. укажу 512 туда и обратно к примеру для 3-х клиентов и 3 клиента будут пользовать 512, а не каждому по 512, т.е. если я забью канал, то остальным будет куль? Режется на клиента или на отдельное соединени? Я бы хотел Что бы в конкретном алиасе каждому пользователю не более 512 было. Как я понимаю надо брать и ставить source и destination. Но какой куда? Был бы толковый ман, правда прочитал бы. Хоть на английском.
2. Еще пользователи любят торрентом качать, а он может и udp, то соотвественно у меня в правилах все протоколы. Но тогда вопрос, как мне быть с Layer7? У меня там запрещенные адреса. Создавать все те же адреса с TCP и layer и отдельно остальные?