Cómo limitar el ancho de banda utilizado por una IP en el cuadro de penalización en pfSense

4

Estamos tratando de usar la función de configuración de tráfico pfSense conocida como Penalty Box . Estamos interesados ​​en limitar el ancho de banda de una IP en particular al 2%.

ingrese la descripción de la imagen aquí

Nota: Hay un error de cuatro años de edad en pfSense donde usted tiene la opción de seleccionar otras opciones que limitan además de un porcentaje (por ejemplo kbit/s, bit/s, Mbit/s). Pero seleccionar cualquier otra opción que no sea %un error. Idealmente, habría limitado esta IP a 1 bit/s.

Una vez que se han creado / aplicado las reglas, la IP penalizada toma la mayoría del enlace (por ejemplo, 80%), en lugar del 2%:

ingrese la descripción de la imagen aquí

¿Cómo uso la función pfSense Penalty Box para limitar el ancho de banda de una IP en particular?

El problema es que consistentemente toma demasiado ancho de banda, privando a otras direcciones IP (no penalizadas).

Ian Boyd
fuente

Respuestas:

0

Pregunta anterior pero vale la pena actualizar, en caso de que otros la vean o siga siendo relevante. Ese error ahora se ha marcado como 'resuelto' hace más de un año; si no lo está, deberá informarles.

Para casos simples, puede obtener el efecto que desea utilizando una regla de firewall en la interfaz relevante. Las opciones "avanzadas" permiten algunas reglas bastante complejas de caída / pase, que se pueden usar para establecer estados máximos, conexiones, tasas de conexión, tiempos de espera de conexión y programación (cuándo aplicar), para una IP específica y también (opcionalmente) para IP / puertos remotos específicos. Eso podría ser todo lo que necesita para encontrar una solución / solución decente. También podría ser que su tráfico pesado esté en un puerto específico o en un rango de URL / IP y podría limitar su regla a esas conexiones.

También puede usar un "portal cautivo" y hacerlo transparente / inactivo / no aplicable para la mayoría de las IP, excepto esta. Un portal cautivo en esa IP proporcionaría un medio diferente para configurar / reducir el ancho de banda en una IP, sin depender de la configuración del tráfico.

(Si desea establecer el tráfico en "1 bit", y cualquiera que esté involucrado podría hacerlo, presumiblemente eso significa bloquear en lugar de limitar el ancho de banda. En ese caso, las reglas de firewall de LAN también son su amigo).

Último pensamiento: si desea controlar esa IP específicamente, podría ayudar colocar sus IP "problemáticas" en una subred diferente, como 10.1.0.0/16, o como un alias, configure el enrutamiento si corresponde para que puedan comunicarse con otros 10 .xxx LAN IP sin ningún cambio, y luego puede definir y mantener diferentes reglas y políticas para las conexiones de estos usuarios con facilidad.

Stilez
fuente