limitowanie pasma na pfSense oraz omijanie serwera dhcp
Witam serdecznie, pytanie z webinara do dalszej dyskusji.
Czy można, ewentualnie jak to zdefiniować, limitować pasmo per stacja/IP?
Mam 1xWAN, 3xLAN. Po stronie LAN1+LAN2+LAN3 sumarycznie jest kilkuset użytkowników. Pasmo powinien mieć ograniczany każdy indywidualnie np. 15Mbit/5Mbit oraz sumarycznie powiedzmy 200Mbit/interfejs LAN. Obecnie robi to shorewall, masq i HTB, jednak konfiguracja z CLI jest czasochłonna (na 500 użytkowników mam około 4000 linii konfiguracji).
Drugie pytanie jakie padło to czy można zabronić użytkownikom „omijania” serwera dhcp poprzez ręczną konfigurację interfejsów ich stacji roboczych?
Poprzez pfSense przepuszczałbym tylko tych użytkowników, którym przyznałem adres IP z wbudowanego serwera dhcp – zarówno przyznane dynamicznie (poprzez range) jak i zdefiniowane wpisem statycznie.
2 Odpowiedzi
Zostaw odpowiedź
Musisz się zalogować lub zarejestrować aby dodać nowy odpowiedź.
Serdeczne dzięki. Poczekam na artykuł i spróbuję zmienić centosa z shorewallem na pfSense.
Druga sprawa jest nieco bardziej skomplikowana gdy mam dynamiczny range publicznych adresów IP, mniejszy niż tygodniowa liczba chętnych na ich wykorzystanie (oczywiście nie w jednym czasie). Wówczas następuje ponowne wykorzystanie adresów przez inne jednostki. Myślałem nad połączeniem zdarzenia dhcp offer z powstaniem statycznego zmapowania arp-mac. Jeśli ktoś nie skorzysta z serwera dhcp jego IP będzie zmapowany statyczne z niewłaściwym mac.
Hej, dzięki za rozpoczęcie dyskusji. Da się i da się 🙂
Odpowiedź na pierwsze znajdziesz w artykule, który niedługo pojawi się na władcach o limitowaniu ( traffic shaper ) jest taka opcja w sekcji Firewall, jak założysz aliasy na grupy adresów IP i zdefiniujesz im kolejki to da się spokojnie to zrobić.
Odpowiedź na drugie pytanie będzie także w artykule omówiona osobno, ale podpowiem ze da się. Trzeba włączyć static arp entries oraz dodać ludzi do dhcp i włączyć wymuszenie, aby dostęp do sieci miały tylko zdefiniowane hosty. Gdyby jednak ktoś się uparł i poznal pary Mac IP innych to już tylko jakiś DPI zostaje, ale poznanie par jest niemal niemożliwe, chyba że ktoś celowo to udostępni.