Como limitar a largura de banda usada por um IP na caixa de penalidade no pfSense

3

Estamos tentando usar o recurso de modelagem de tráfego do pfSense conhecido como Penalty Box . Estamos interessados em limitar a largura de banda de um determinado IP a 2%.

Observação:háum bug de quatro anos no pfSense onde você tem a opção de selecionar outras opções de limitação além de uma porcentagem (por exemplo, kbit/s , bit/s , Mbit/s ). Mas selecionar qualquer opção diferente de % resulta em um erro. Idealmente, eu teria limitado esse IP a 1 bit/s .

Após as regras terem sido criadas / aplicadas, o IP penalizado recebe a maior parte do link (por exemplo, 80%), em vez de 2%:

Como eu uso o recurso de penalidade do pfSense para limitar a largura de banda de um determinado IP?

A questão é que ele consome muita largura de banda de forma consistente, deixando outros endereços IP (não penalizados) famintos.

    
por Ian Boyd 01.10.2014 / 21:26

1 resposta

0

Pergunta antiga, mas vale a pena uma atualização, caso outras pessoas a vejam ou ainda seja relevante. Esse bug já foi marcado como "resolvido" há mais de um ano - se não for, você precisará informá-lo.

Para casos simples, você pode obter o efeito desejado usando uma regra de firewall na interface relevante. As opções "avançadas" permitem algumas regras drop / pass bastante sofisticadas, que podem ser usadas para definir estados máximos, conexões, taxas de conexão, timeouts de conexão e agendamento (quando forçar), para um IP específico e também (opcionalmente) para IPs / portas remotas específicas. Isso pode ser tudo que você precisa para encontrar uma solução decente / solução alternativa. Também pode ser que o tráfego pesado esteja em um intervalo de porta ou url / IP específico e você possa limitar sua regra a essas conexões.

Você também pode usar um "portal cativo" e torná-lo transparente / inativo / não aplicável para a maioria dos IPs, exceto este. Um portal cativo nesse IP forneceria um meio diferente para configurar / reduzir a largura de banda em um IP, sem depender da modelagem de tráfego.

(Se você quisesse definir o tráfego como "1 bit" e fosse autorizado a fazer isso por qualquer outra pessoa envolvida, presumivelmente isso significa bloquear em vez de limitar a largura de banda. Nesse caso, as regras de firewall da LAN também são suas. )

Por último, se você quiser controlar esse IP especificamente, pode ser útil colocar os IPs "problemáticos" em uma sub-rede diferente, como 10.1.0.0/16, ou como um alias, definir o roteamento, se aplicável, para que eles possam se comunicar com outros 10.xxx LAN IPs sem qualquer alteração, e então você pode definir e manter regras e políticas diferentes para conexões desses usuários com facilidade.

    
por 11.04.2016 / 10:28