Conflito entre Squid e Traffic Shaper
-
Boa tarde Pessoal.
Estou configurando um firewall pfsense (Aprendendo) e estou garrado em um ponto. Não consigo fazer o Limiter do Traffic Shaper funcionar junto com o Squid.
1 - Se desabilito a regra (rule) que limita a banda para um determinado IP, o squid funciona perfeitamente e esse IP navega.
2 - Se paro o serviço do squid e habilito a regra do limite de banda, o IP navega normalmente, seguindo o limite de Down e Up, certinho.
3 - Se deixo o squid ativo e habilito a regra que limita a banda, o IP para de navegar, a pagina não carrega, apresenta erro de Timeout.Estou usando o Pfsense 2.2.6-RELEASE (i368) com Squid 4.3.10
Alguém teve o mesmo problema ou pode me ajudar?
-
A regra com o limitador deve envolver a porta do squid que é por padrão a 3128 (caso você use proxy marcado).
Você usa o proxy marcado?
A regra está envolvendo a porta do squid? -
A regra com o limitador deve envolver a porta do squid que é por padrão a 3128 (caso você use proxy marcado).
Você usa o proxy marcado?
A regra está envolvendo a porta do squid?Mesmo indicando a porta recebo o mesmo erro de timeout. Quando as duas regras estão ativas.
Se desativo a de controle, o ip 192.168.1.3 navega normalmente.
-
Consegui resolver. Se o moderador quiser encerrar o tópico.
Os créditos ficam para o video https://www.youtube.com/watch?v=wcSyGDXkJ9A.
Configurei o traffic_shaper_wizard_dedicated.xml, criei um limiter e depois configurei conforme o video.
-
olá bom dia!
estou com o mesmo problema, porem não consigo configurar o traffic_shaper_wizard_dedicated.xml corretamente, poderia postar sua solução completa, no video o mesmo não explica como fazer, tmb sou novo no pfsense -
Não vi ele editar nenhum arquivo.
O que ele fez diferente foi usar um limiter para in e o traffic shape para o out em cima do pfsense com squid em modo transparente.
-
Fala pessoal!
Consegui fazer de uma maneira um pouco diferente, e está funcionando até agora…
Criei uma regra na LAN liberando tráfego para o IP DESTINO 127.0.0.1 e porta do proxy, no meu caso, 3128.
Não apliquei limitador nesta regra, somente nas regras seguintes.
Nos anexos dá para ter uma ideia de como fiz.
Tomei por base uma regra de outro tópico que o usuário fez, mas ele liberou para qualquer destino, e notei pelos logs que, ao ativar o proxy transparent + limiter, o firewall passa a registrar bloqueios para a porta 3128 (transparent) para o destino 127.0.0.1
Espero que ajude.
[EDIT]
Notei que a solução foi temporária, após alguns testes vi registros de banda acima do permitido. Provavelmente saindo por dentro do Proxy na regra acima.
Farei novos testes :(
Vou tentar com o vídeo também…
Alguém sabe se existe previsão para solução definitiva do problema?
Abraços!
-
olha aqui não deu certo …
qual a versão do pfsense que não tem esse bug -
2.1.5 funciona corretamente
-
aqui deu certo, finalmente, o erro era na organização das regras, coloquei primeiro a regra de bloqueio de alguns sites em https que eu tenho, dps a regra que desvia o fluxo para a porta 3128 que vc fez com o ip do DNS do squid, dps as regras de limiter, (sem usar o traffic wizard) somente o traffic sharper, dps as demais regras, aqui no meu pfsense na versão 2.2.6 está funcionando tudo perfeitamente.
obs.; quando usei o traffic wizard do video acima, junto com o traffic sharp o pfsense ficou fazendo dois limite de banda um por cima do outro.obrigado pessoal! :)
-
aqui deu certo, finalmente, o erro era na organização das regras, coloquei primeiro a regra de bloqueio de alguns sites em https que eu tenho, dps a regra que desvia o fluxo para a porta 3128 que vc fez com o ip do DNS do squid, dps as regras de limiter, (sem usar o traffic wizard) somente o traffic sharper, dps as demais regras, aqui no meu pfsense na versão 2.2.6 está funcionando tudo perfeitamente.
obs.; quando usei o traffic wizard do video acima, junto com o traffic sharp o pfsense ficou fazendo dois limite de banda um por cima do outro.obrigado pessoal! :)
Oi alberto!
Tive problemas com algumas aplicações que costumam abrir várias conexões, como gerenciadores de download… Acabam passando por cima dos limiters.
Testou algo semelhante aí no seu ambiente?
Abraços!