Автор Тема: pFsense и лимитиране на торент трафик  (Прочетена 20250 пъти)

ivterbg

  • Напреднали
  • *****
  • Публикации: 78
    • Профил
Имам един рутер (гранична машина) с pfsense (последна версия).
Справих се с всичко нужно (4 openvpn тунела, 12 ipsec и какво ли още не), но не се справям с лимитиране на торент трафика - не желая да го спирам, а да го огранича.
Мрежата ми с 1 wan и 1 lan интерфейс, адресите на lan-а се раздават динамично.
Какъв е начина да лимитирам трафика при използване на торенти ?
Да насоча - ръководства като това http://www.smallnetbuilder.com/lanwan/lanwan-howto/30565-taming-your-networks-bandwidth-hogs-part-1?start=1 не помагат или помагат, но но само когато мога да кажа точно кое IP да бъде лимитирано (а с DHCP това е доста трудно).
Другото което ме интересува - от къде мога да задам даден MAC адрес да получава точно определено IP в пула на DHCP-то (не е проблем да закача хардуерния адрес към всяко ИП, но извън този пул, но когато искам да бъде в пула не ми разрешава).

Благодаря на всички помогнали.
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6821
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #1 -: Jul 03, 2014, 19:10 »
Там, където ръчкаш DHCP-то няма ли Address reservation?
Моя раздаваше адреси от 100 до 199 и бях резервирал първите четири адреса за четири MAC адреса - на eth0 и wlan0 за двата ми лаптопа. Бях ограничил скоростта на нета за останалите айпита. От Bandwidth Control  - Rules List Мрежата ми е свободна, а рутера ми е някаква "пръчка" за 30 лева.
Сега резервираните ми адреси са от 1 до 4 , докато все още си раздава автоматично от 100 до 199 в последния октет.

https://doc.pfsense.org/index.php/DHCP_Server

http://pfsensesetup.com/static-dhcp-mapping-in-pfsense/

Май това е за теб.


А относно torrent трафика, можеш ли да зададеш правила за останалите портове ( 22, 25, 53, 80, 443 и прочее ) и останалите да ги резнеш откъм скорост? В торент клиентите може да се нагласи за случаен порт всеки път при пускане на програмата или при свързване към някой тракер, не помня точно. А и освен това трафика вече се криптира. Така че правило само за торент трафик, не зная как би могло да се зададе. Ако някой разбира, да каже.

Може би това за торентите.

http://pfsensesetup.com/traffic-shaping-rules-in-pfsense-2-1/

Накрая мисля, че се споменаваше нещо за ограничаване на трафика. Погледнах го набързо само.
« Последна редакция: Jul 03, 2014, 19:28 от 4096bits »
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

ivterbg

  • Напреднали
  • *****
  • Публикации: 78
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #2 -: Jul 03, 2014, 21:58 »
Там, където ръчкаш DHCP-то няма ли Address reservation?
....

Има, но... If an IPv4 address is entered, the address must be outside of the pool.
А аз НЕ искам да е извън пула - искам да е в него.

За шейпъра - ще тествам.
Благодаря.
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6821
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #3 -: Jul 03, 2014, 23:11 »
А какво пречи да си направиш мрежата ipv6 ?
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

ivterbg

  • Напреднали
  • *****
  • Публикации: 78
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #4 -: Jul 03, 2014, 23:39 »
А какво пречи да си направиш мрежата ipv6 ?

Абсурд. Това ще доведе до преконфигуриране на над 20 мрежи с около 300 хоста. Не мога да причиня това на себе си и на админите!!!
Инак успях да лимитирам скоростта на LAN сегмента, но торентите продължават да не се лимитират по скорост !!!
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6821
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #5 -: Jul 04, 2014, 00:29 »
Торент файл се тегли от много айпита едновременно, нали? Не може ли да се открие подобен трафик и да се резне скоростта през определения порт. Не вярвам клиента да ги сменя динамично. Ако например това се случва за по-дълго време от 30 секунди, да се реже скоросстта. Защото днешните уеб страници се сглобяват в много случай от ресурси откъде ли не.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

KPETEH

  • Напреднали
  • *****
  • Публикации: 584
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #6 -: Jul 06, 2014, 10:54 »
А пък според мен най-добре е да ограничи трафика на клиентските машини има начин това да се случи и под windows или linux.
Активен

Най-добрата страна на алчността е способността и да стопява коефициента на интелигентност дори на най-умния човек.

4096bits

  • Напреднали
  • *****
  • Публикации: 6821
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #7 -: Jul 06, 2014, 11:55 »
Това ще работи, но не се знае, за какво друго се ползва нета на клиентските машини. Резне ли го, реже всичко.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

KPETEH

  • Напреднали
  • *****
  • Публикации: 584
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #8 -: Jul 06, 2014, 18:11 »
Това ще работи, но не се знае, за какво друго се ползва нета на клиентските машини. Резне ли го, реже всичко.

Е стига де, може на ниво приложение на клиентските машини т.е. примерно utorrent.
Pfsense има една много добра опция - p2pcaptcha all но там става страшно, влияе на целия  трафик заради това не се препоръчва в случая.
Активен

Най-добрата страна на алчността е способността и да стопява коефициента на интелигентност дори на най-умния човек.

Sairos

  • Напреднали
  • *****
  • Публикации: 77
  • Distribution: GNU Linux
  • Window Manager: Console
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #9 -: Jul 07, 2014, 11:57 »
Колега пробвай следното :

Firewall: Traffic Shaper: Limiter

Create new limiter


Правиш едно за download в него си добавяш скоростта която желаеш да се лимитира, след това примерно burst 10
след това source address и  mask 32.

Добавяш още едно правило за upload едиствена разлика с другото  е че е по Destination Address.

После

Firewall: Rules

Правилото за интерфейса който ще ограничаваш edit на него и на In/Out избираш създадените правила.


В dhcp pool в който се раздават ип адреси, не можеш да добавяш статични. Направи го примерно от 192.168.0.2/24 до 192.168.0.150/24 и си добави статичните след 150 на там.


« Последна редакция: Jul 07, 2014, 12:02 от Sairos »
Активен

ivterbg

  • Напреднали
  • *****
  • Публикации: 78
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #10 -: Jul 07, 2014, 12:38 »
Колега пробвай следното :

Firewall: Traffic Shaper: Limiter

Create new limiter


....

Или аз не правя нещо като хората или пак не се получава и това.
Моята идея е да лимитирам за цялата мрежа (това което си описал не би трябвало да е проблем да се приложи за цялата мрежа 192.168.1.0/24 например) а не за 1 IP.
Ако го имаш направено пусни един шот да видя какво си направил да го настроя отново.
Правилото го слагах първо и последно - пак не става.
Това което посочваш като правило за ЛАН или за ВАН трябва да е ?
Благодаря ти за насоката.
Активен

Sairos

  • Напреднали
  • *****
  • Публикации: 77
  • Distribution: GNU Linux
  • Window Manager: Console
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #11 -: Jul 07, 2014, 13:37 »
Колега пробвай следното :

Firewall: Traffic Shaper: Limiter

Create new limiter


....

Или аз не правя нещо като хората или пак не се получава и това.
Моята идея е да лимитирам за цялата мрежа (това което си описал не би трябвало да е проблем да се приложи за цялата мрежа 192.168.1.0/24 например) а не за 1 IP.
Ако го имаш направено пусни един шот да видя какво си направил да го настроя отново.
Правилото го слагах първо и последно - пак не става.
Това което посочваш като правило за ЛАН или за ВАН трябва да е ?
Благодаря ти за насоката.

Правилото е за lan ако искаш него да ограничиш след pfsense, не е само за едно ип а за цялата мрежа зад lan.
Активен

ivterbg

  • Напреднали
  • *****
  • Публикации: 78
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #12 -: Jul 07, 2014, 14:31 »
Ами не сработват нещата.
Явно изобщо не може да се лимитира трафика за торентите. И из нета няма успешни опити (само някакви неточни съвети които не работят).
Активен

KPETEH

  • Напреднали
  • *****
  • Публикации: 584
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #13 -: Jul 07, 2014, 15:31 »
Естествено че няма да сработят единствено на ниво приложение на самата клиентска машина става независимо дали ще ползва uTP протокол или не.
Активен

Най-добрата страна на алчността е способността и да стопява коефициента на интелигентност дори на най-умния човек.

ivterbg

  • Напреднали
  • *****
  • Публикации: 78
    • Профил
Re: pFsense и лимитиране на торент трафик
« Отговор #14 -: Jul 07, 2014, 15:43 »
Естествено че няма да сработят единствено на ниво приложение на самата клиентска машина става независимо дали ще ползва uTP протокол или не.

Интересно заключение !
Странно обаче, как гранични машини с Untangle или ASTARO лимитират от раз или изцяло забраняват подобен трафик (гарнирано - лично тествано от мен) и то без да пипаш каквото и да е по клиентските машини !
Ето тези два реда би трябвало да утрепят некриптиран торент трафик:
iptables -I FORWARD -p tcp -m multiport --dports 1024:65535 -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP
iptables -I FORWARD -p udp -m multiport --dports 1024:65535 -m iprange --src-range 192.168.0.1-192.168.0.100 -j DROP
Активен