Bloqueios + Limite de Banda



  • Fala pessoas! Tranquilo?

    Sou novato em Pfsense, porém já aprendi a configurar certas coisas.

    Estou usando ele em uma faculdade, porém há umas coisas que não consegui acertar. E olha que pesquisei muito antes de chegar aqui.

    Estou usando a versão 2.1.5 + squid + squidGuard + Lightsquid + HAVP. Separei a rede Adm da rede dos alunos. A rede ADM está sem bloqueio nenhuma, já a dos alunos estão com certas restrições. Consegui bloquear facebook, whatsapp, instagram e twitter via regra de firewall, usando CIRD, porém não consigo bloquear o Youtube. Não posso fazer por CIDR, pq senão vai bloquear o gmail e o google. Fiz por url, porém nesse squid só serve em HTTP. Se usar o HTTPS já não tem o tratamento. Isso sem falar que os aplicativos de celular conseguem se conectar via aplicativo.

    Então, na parte de bloqueio, precisaria de um jeito de bloquear o youtube tanto em desktop quanto aplicativo.
    Isso sem falar que eu precisava bloquear outros tipos de aplicativos como viber e snapchat. Não encontrei a CIDR deles e tão pouco alguém dando uma luz para bloquear esses APPs de bate papo e redes sociais. Bom! Pra não dizer que não vi nada, vi o pessoal falando para bloquear todas as portas e liberar apenas a 80, 433 e 53. Fiz isso, mas aparentemente não surtiu muito efeito não.

    Quanto aos bloqueios é isso.

    A segunda parte é que, a internet na faculdade é sob demanda. Ou seja, quanto mais usa, mais paga. Se ficar tudo liberado, no fim do mês a conta vem lá no alto.

    Fiz um bloqueio usando o Limiter do Traffic Shaper. Coloquei, para a rede dos alunos, 700 k de download e 400 de up, só que não sei se isso serve para limitar esse problema de gasto. Sei que ele tá funcionando quando faço um download, mas e a navegação? Fica limitada também? Assim vai diminuir os gastos?

    Outra coisa, em média, temos uns 700 alunos no período noturno. Não digo que todos estejam conectados ao mesmo tempo, mas vamos supor que sim. Todos os celulares e notebooks utilizando a net da faculdade (que é de 100 megas). Pois bem, mesmo que esse Limiter faça essa função, vi um cara dizendo que ele vem configurado por padrão para criar 256 "túneis" onde seria atribuído o valor especificado (700 k no meu caso) para cada "túnel", ou seja, seriam 256 conexões passando pelo limiter e cada um no seu "túnel" de 700 k. Procede essa informação? Se sim, como poderia alterar isso para que tivesse mais "túneis"?

    Bom, galera. É isso. Desculpe as várias perguntas, mas já estou a quase 3 semanas pesquisando e nada de encontrar respostas.

    Obrigado e parabéns ao Marcello. Estou indicando essa maravilhosa ferramenta a todos que conheço que mexem com redes.



  • Várias questões mesmo.

    Tentando resumir. Liberar acessos a 80,443 e 53 sem tratar o destino, é dar acesso a quase tudo.

    Nos desktops, você pode usar a interceptação de ssl, já nos dispositivos móveis, para evitar instalação de certificados e etc, faça a restrição de acesso e limite de banda via captive portal. Lembrando que o Limiter come cpu e para essa quantidade de usuários, a máquina tem que ser boa e de preferência com failover para alta disponibilidade.



  • Hum. Entendi. Vou dar uma pesquisada sobre tratamento de destino dessas portas.

    Quanto ao Capitive Portal, ótima dica. Vou implementar isso sim, porém fiquei em dúvida. Ele limitaria a banda mais ou menos igual ao Limiter, podendo eu dispensar o uso do Limiter para não consumir muito processamento? A máquina que tive disponível para instalar o Pfsense foi uma Intel Core 2 Quad. Será que ela daria conta com o Limiter funcionando na hora que tivesse bastante aluno usando ou seria melhor dispensar ele e usar só Capitive Portal para dar uma segurada nos gastos?

    Obrigado pela ajuda!




  • @guinao_99:

    Ele limitaria a banda mais ou menos igual ao Limiter?

    Isso, limite de banda por ip de cliente.



  • Cara, muito obrigado. Me ajudou muito.

    Assim que eu implementar dou um feedback aqui.



  • Fiquei em dúvida quando ao limite do Captive.

    Fiz as restrições por usuários, para cada um ter que logar com seu usuário e senha, e fiz a liberação do Captive das máquinas da rede ADM através do MAC.

    Para limitar a banda dos usuários que irão se logar, estou usando a opção "Per-user bandwidth restriction" e ele está funcionando corretamente, porém ele, feito assim dessa forma simples, não vai comer muita CPU igual ao Limiter? Porque eu não fiz uma limitação ip por ip (não sei fazer isso ainda. Acho que tem que usar o Radius para isso né?), eu gerei um padrão para todos que logarem pelo captive.



  • confere o consumo de cpu pela console/ssh usando o top.



  • Fiz as limitações pelo Captive. Está rodando filé. Está consumindo em média 15 % da CPU, mas ainda não tive o teste de fogo, que é quando os alunos irão mexer pra valer. Rs.

    Coloquei cada desktop (80 no total) fora da regra do Capitive, através do IP laçado ao MAC, atribuindo uma limitação de banda para cada um.

    Aí, para aqueles que vão conectar pelo wifi, sem ip fixo, coloquei um limite também, mas passando pelo Captive, porém coloquei uma página personalizada para que essas pessoas obrigatoriamente tenham que clicar em "continuar" para ter acesso a rede. Deixei sem autenticação, pois meu objetivo é só que essas pessoas passem pelo limite de banda do. Aí vem outra questão: tem como esses ips dinâmicos passarem pelo captive sem a necessidade de passar por essa página, sem autenticar, sem ter que clicar em botão nenhum simplesmente se contectar e já estar sendo limitado pelo captive?