Как ограничить полосу пропускания, используемую IP-адресом в поле штрафов в pfSense
Мы пытаемся использовать функцию формирования трафика pfSense, известную как штрафной ящик. Мы заинтересованы в ограничении пропускной способности конкретного IP до 2%.
Примечание: в pfSense есть четырехлетняя ошибка, когда у вас есть возможность выбрать другие ограничивающие параметры, кроме процента (например, kbit/s
, bit/s
, Mbit/s
). Но выбрав любой вариант, кроме %
приводит к ошибке. В идеале я бы ограничил этот IP до 1 bit/s
,
После того, как правила были созданы / применены, оштрафованный IP получает большую часть ссылки (например, 80%), а не 2%:
Как использовать функцию штрафного ящика pfSense для ограничения пропускной способности определенного IP-адреса?
Проблема заключается в том, что он постоянно занимает слишком большую полосу пропускания, из-за чего не хватает других (не наказанных) IP-адресов.
1 ответ
Старый вопрос, но стоит обновить, если другие увидят его или он все еще актуален. Эта ошибка была помечена как "исправленная" более года назад - если это не так, вам нужно сообщить им об этом.
Для простых случаев вы можете получить желаемый эффект, используя правило брандмауэра на соответствующем интерфейсе. "Расширенные" опции позволяют использовать некоторые довольно сложные правила отбрасывания / пропуска, которые можно использовать для установки максимальных состояний, соединений, скоростей соединений, тайм-аутов соединений и планирования (когда применять) для конкретного IP-адреса, а также (опционально) для конкретные удаленные IP / порты. Это может быть все, что вам нужно, чтобы найти достойное решение / обходной путь. Возможно также, что их интенсивный трафик проходит через определенный порт или диапазон URL /IP, и вы можете сузить свое правило для этих соединений.
Вы также можете использовать "портал авторизации" и сделать его прозрачным / неактивным / неприменимым для большинства IP-адресов, кроме этого. Портал с привязкой к этому IP обеспечит различные средства для настройки пропускной способности на IP, не полагаясь на формирование трафика.
(Если вы действительно хотите установить трафик на "1 бит", и это будет разрешено кем бы то ни было, возможно, это означает блокировку, а не ограничение пропускной способности. В этом случае правила брандмауэра локальной сети также являются вашими друзьями.)
Последняя мысль - если вы хотите контролировать этот IP-адрес, это может помочь поместить ваши "проблемные" IP-адреса в другую подсеть, такую как 10.1.0.0/16, или в качестве псевдонима, установить маршрутизацию, если это применимо, чтобы они могли взаимодействовать с другими 10.xxx IP-адреса локальной сети без каких-либо изменений, а затем вы можете легко определять и поддерживать различные правила и политики для соединений этих пользователей.