4

Мы пытаемся использовать функцию формирования трафика pfSense, известную как штрафной ящик. Мы заинтересованы в ограничении пропускной способности конкретного IP до 2%.

Примечание: в pfSense есть ошибка четырехлетней давности, когда у вас есть возможность выбрать другие ограничивающие опции, кроме процента (например, kbit/s , bit/s , Mbit/s). Но выбор любой опции, кроме % приводит к ошибке. В идеале я бы ограничил этот IP до 1 bit/s .

После того, как правила были созданы / применены, оштрафованный IP получает большую часть ссылки (например, 80%), а не 2%:

Как использовать функцию штрафного ящика pfSense для ограничения пропускной способности определенного IP-адреса?

Проблема заключается в том, что он постоянно занимает слишком большую полосу пропускания, из-за чего не хватает других (не наказанных) IP-адресов.

1 ответ1

0

Старый вопрос, но стоит обновить, если другие увидят его или он все еще актуален. Эта ошибка была помечена как «исправленная» более года назад - если это не так, вам нужно сообщить им об этом.

Для простых случаев вы можете получить желаемый эффект, используя правило брандмауэра на соответствующем интерфейсе. "Расширенные" опции позволяют использовать некоторые довольно сложные правила отбрасывания / прохождения, которые можно использовать для установки максимальных состояний, соединений, скоростей соединений, тайм-аутов соединений и планирования (когда применять) для определенного IP, а также (опционально) для конкретные удаленные IP / порты. Это может быть все, что вам нужно, чтобы найти достойное решение / обходной путь. Возможно также, что их интенсивный трафик проходит через определенный порт или диапазон URL / IP, и вы можете сузить правило для этих подключений.

Вы также можете использовать "портал авторизации" и сделать его прозрачным / неактивным / неприменимым для большинства IP-адресов, кроме этого. Портал с привязкой к этому IP предоставит другие средства для настройки пропускной способности на IP, не полагаясь на формирование трафика.

(Если вы действительно хотите установить трафик на "1 бит", и это будет разрешено кем-либо еще, вероятно, это означает блокировку, а не ограничение пропускной способности. В этом случае правила сетевого брандмауэра также являются вашим другом.)

Последняя мысль - если вы хотите контролировать этот IP-адрес, это может помочь поместить ваши "проблемные" IP-адреса в другую подсеть, такую как 10.1.0.0/16, или в качестве псевдонима, установить маршрутизацию, если это применимо, чтобы они могли взаимодействовать с другими 10 .xxx IP-адреса локальной сети без каких-либо изменений, а затем вы можете легко определять и поддерживать различные правила и политики для соединений этих пользователей.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .