Ограничение скорости для IP адреса/группы а&#



  • Доброго дня!

    Не получается порезать скорость для одного IP из локалки.
    Настроил в Firewall: Traffic Shaper: Limiter лимитеры для SL для 'source' и DL для 'destination' с ограничением 1 Kbit/s в поле Bandswidth и битом 32 в поле Mask.


    Создал в Firewall: Rules: Lan правило для lan интерфейса c ip адресом, для которого надо порезать скорость в Source, в Destination указал Any, в in/Out выбрал SL/DL.

    Сохранил, применил изменения, перезагрузил правила. В итоге скорость не режется. Может на это влиять как-то влиять то, что есть другие правила, под которые попадает этот IP адрес, но in/Out там не настроен.



  • Настроил в Firewall: Traffic Shaper: Limiter лимитеры для SL для 'source' и DL для 'destination' с ограничением 1 Kbit/s в поле Bandswidth и битом 32 в поле Mask.

    Маску не трогайте.

    Задача какая ? Динамически нарезать ? Тогда вообще не надо ничего выбирать - ни сурс, ни дестинейшн.



  • Задача организовать шейпирование для ip/группа ip. Просто есть пользователи, которым по политическим причинам нельзя настучать по рукам, но вполне можно порезать резать скорость на уровне шлюза.
    В линуксе я это делал по средством tc и iptables, но на новой работе корпоративный стандарт pfSense, и не выходит каменный цветок.



  • @IceCream:

    Может на это влиять как-то влиять то, что есть другие правила, под которые попадает этот IP адрес, но in/Out там не настроен.

    Так и есть, скорее всего. Самое верхнее подходящее правило будет срабатывать.
    Вот цитата из мануала:
    В pfSense, как и в большинстве брандмауеров, наборы правил оцениваютя по принципу первого совпадения, что означает если Вы читаете список правил сверху-вниз - выполняться будет только первое правило удовлетворяющее условию. После достижения соответствия и выполнения действия требуемого правилом обработка останавливается. Об этом следует помнить всегда при создании нового набора правил, особенно если эти правила касаются ограничения трафика. Разрешающие правила должны быть расположены в нижней части набора, это позволит произвести исключения на ранних стадих фильтрации.

    Создайте алиас, в который будете помещать пользователей. А в правиле уже укажите этот алиас вместо прямого ip.



  • @sanaaa:

    Так и есть, скорее всего. Самое верхнее подходящее правило будет срабатывать.
    Вот цитата из мануала:
    В pfSense, как и в большинстве брандмауеров, наборы правил оцениваютя по принципу первого совпадения, что означает если Вы читаете список правил сверху-вниз - выполняться будет только первое правило удовлетворяющее условию. После достижения соответствия и выполнения действия требуемого правилом обработка останавливается. Об этом следует помнить всегда при создании нового набора правил, особенно если эти правила касаются ограничения трафика. Разрешающие правила должны быть расположены в нижней части набора, это позволит произвести исключения на ранних стадих фильтрации.

    Создайте алиас, в который будете помещать пользователей. А в правиле уже укажите этот алиас вместо прямого ip.

    Вообще-то в pf применяется не первое, а последнее правило или даже совокупность правил. Просто для интерфейсных правил pfSense выставляется параметр quick, который и заставляет файрвол прекратить остальные проверки.



  • Создал алиас, указал его в правиле, проверил, что правило в самом низу списка Firewall: Rules:LAN.  Все остальное, как в первом посте. Перезагрузил фильтры. Скорость не режется.



  • @IceCream:

    Создал алиас, указал его в правиле, проверил, что правило в самом низу списка Firewall: Rules:LAN.  Все остальное, как в первом посте. Перезагрузил фильтры. Скорость не режется.

    А если все же поместить это правило выше (условно - самым первым)?



  • Да, все же PFSense читает правила с верху в низ(или просто выводит в веб морде более приоритетные выше?). На будущее учту.
    Все заработало.



  • Они показываются в порядке, установленном вами.
    Выполняются - сверху вниз.


Log in to reply