Wie kann ich die Bandbreite begrenzen, die eine IP-Adresse in der Strafbox in pfSense verwendet?

12354
Ian Boyd

Wir versuchen, die pfSense-Traffic-Shaping-Funktion, die sogenannte Penalty Box, zu verwenden . Wir sind daran interessiert, die Bandbreite einer bestimmten IP auf 2% zu beschränken.

enter image description here

Hinweis: Es gibt eine vier Jahre alte Fehler in pfSense, wo Sie die Möglichkeit haben, wählen andere Einschränkungen neben einem Prozentsatz (zB kbit/s, bit/s, Mbit/s). Die Auswahl einer anderen Option als dem %Ergebnis führt zu einem Fehler. Idealerweise hätte ich diese eine IP auf begrenzt 1 bit/s.

Nachdem die Regeln erstellt / angewendet wurden, übernimmt das bestrafte IP die Mehrheit der Verbindung (z. B. 80%) und nicht 2%:

enter image description here

Wie verwende ich die pfSense Penalty Box-Funktion, um die Bandbreite einer bestimmten IP zu begrenzen?

Das Problem ist, dass es ständig zu viel Bandbreite benötigt, um andere (nicht bestrafte) IP-Adressen zu verhungern.

3

1 Antwort auf die Frage

0
Stilez

Alte Frage, aber ein Update wert, falls andere es sehen oder noch relevant sind. Dieser Fehler wurde vor über einem Jahr als "behoben" markiert. Wenn dies nicht der Fall ist, müssen Sie sie darüber informieren.

In einfachen Fällen können Sie den gewünschten Effekt mit einer Firewall-Regel für die entsprechende Schnittstelle erzielen. Die "Erweiterten" Optionen erlauben einige recht ausgefeilte Drop / Pass-Regeln, mit denen maximale Zustände, Verbindungen, Verbindungsraten, Verbindungszeitlimits und Zeitplanung (wann erzwungen) für eine bestimmte IP-Adresse sowie (optional) für festgelegt werden sollen bestimmte entfernte IPs / Ports. Das ist alles, was Sie brauchen, um eine anständige Lösung zu finden. Es kann auch sein, dass sich der starke Datenverkehr auf einem bestimmten Port oder URL / IP-Bereich befindet und Sie Ihre Regel auf diese Verbindungen beschränken können.

Sie können auch ein "Captive-Portal" verwenden, das für die meisten IPs außer dieser IP-Adresse transparent / inaktiv / nicht anwendbar ist. Ein Captive-Portal auf dieser IP-Adresse würde eine andere Möglichkeit bieten, um die Bandbreite für eine IP-Adresse zu aktivieren / verringern, ohne auf Traffic Shaping angewiesen zu sein.

(Wenn Sie den Datenverkehr auf "1 Bit" setzen möchten und dies von allen anderen Beteiligten erlaubt wird, bedeutet dies vermutlich, dass die Bandbreite blockiert wird, anstatt die Bandbreite zu begrenzen. In diesem Fall sind die LAN-Firewall-Regeln auch Ihr Freund.)

Letzter Gedanke - Wenn Sie diese IP-Adresse gezielt steuern möchten, kann es hilfreich sein, Ihre "problematischen" IP-Adressen in einem anderen Subnetz wie 10.1.0.0/16 zu platzieren oder als Aliasnamen das Routing festzulegen, falls vorhanden, damit sie mit anderen 10 kommunizieren können .xxx LAN-IPs ohne Änderung, und Sie können problemlos verschiedene Regeln und Richtlinien für Verbindungen dieser Benutzer definieren und verwalten.