我们正在尝试使用 pfSense 流量整形功能,即罚款箱。我们感兴趣的是将特定 IP 的带宽限制为 2%。
笔记:有一个pfSense 中存在四年的漏洞除了百分比之外,您还可以选择其他限制选项(例如kbit/s,,)。但选择除 之外的任何选项都会导致错误。理想情况下,我会将这个 IP 限制为。bit/sMbit/s%1 bit/s
创建/应用规则后,受惩罚的 IP 将占据大部分链接(例如 80%),而不是 2%:
如何使用 pfSense Penalty Box 功能来限制特定 IP 的带宽?
问题在于它始终占用太多带宽,导致其他(未受惩罚的)IP 地址无法获得带宽。
答案1
这是一个老问题,但值得更新,以防其他人看到它或它仍然相关。该错误现已在一年前被标记为“已解决” - 如果没有,那么你需要让他们知道。
对于简单情况,您可以在相关接口上使用防火墙规则来获得所需的效果。“高级”选项允许一些相当复杂的丢弃/通过规则,这些规则可用于为特定 IP 以及(可选)特定远程 IP/端口设置最大状态、连接、连接速率、连接超时和调度(何时执行)。这可能是您找到一个合适的解决方案/解决方法所需要的全部。也可能是他们的大量流量位于特定端口或 url/IP 范围内,您可以将规则缩小到这些连接。
您还可以使用“强制门户”,并使其对除此 IP 之外的大多数 IP 透明/不活动/不适用。该 IP 上的强制门户将提供不同的方法来设置 IP 上的带宽,而不依赖于流量整形。
(如果您确实想将流量设置为“1 位”,并且其他相关人员也允许您这样做,则这可能意味着阻止而不是限制带宽。在这种情况下,LAN 防火墙规则也是您的朋友。)
最后的想法 - 如果您想专门控制该 IP,将“问题”IP 放在不同的子网(例如 10.1.0.0/16)或作为别名可能会有所帮助,如果适用则设置路由,以便它们可以与其他 10.xxx LAN IP 进行通信而无需进行任何更改,然后您可以轻松地为这些用户的连接定义和维护不同的规则和策略。