在 pfsense 中,控制网络限速最常用的是流量整形中的“限制器”,你可以把它理解为一个管道,20Mit/s 的下载管道,那么下载的最大流量就不会超过 20Mit/s。流量限制器结合 IP、网络、别名可以设置不同的限速规则,满足网管需要。
在本教程中,分三种情况对网络进行速设定。分别是单 IP、网络、和别名。
一、设置下载、上传“限制器”
进入防火墙-流量整形-限制器,添加新限制器。在本示例中,下载、上传分别限制为 20Mit/s。因为限速一般在 LAN 上设置,所以下载的限制器的掩码是目的地址,上传限制器掩码是源地址。
这里再对限制器的源地址和目的地址做个说明,因为限制器是被应用在 Lan 接口的规则里,相对防火墙来说,用户发往 Lan 口的流量为进,防火墙通过 Lan 口发给用户的流量为出,因此控制上传的限制器应该应用在进来的方向,限制器的掩码应该为“源地址”,下载的限制器应该应用在出去的方向,因为是转发给用户的所以这个限制器的掩码应该是“目的地址”。
可能有人会有疑问规则应用在 Lan 口,只是转发给用户的速度慢了,从 Wan 口进来的流量一样不受限制,因为 TCP 有流控机制,不会出现这种情况。
二、设置 IP 别名
如果要对不同的 IP、不同的网络限速,必须设置 IP 别名来管理。进入防火墙-别名管理,添加别名。别名可以是 IP,也可以是网络或端口。
三、设置防火墙规则
所有的流量管控,只能在防火墙上实现。进入防火墙-规则策略,在 LAN1 标签上,添加新规则。要注意三个部分,一个是接口,一个是源,还有一个是进/出管道设置。
以下根据源的不同分三种情况进行限制:
1、单 IP 限速。在源地址处填写 IP 地址即可
2、网络限速。在源地址处选 LAN1 网络
3、别名限速。在源地址处填写别名
在应用了新策略后,之前已经建立的连接可能不受这些规则影响,这时候测试可能不会产生效果。可以到“诊断->状态 -> 重置状态”去重置一下防火墙状态,让策略生效。验证效果可以到测速网站进行测试,下面是单 IP 限速的测试结果。
注意:由于防火墙的规则是由上而下执行的,最上的规则更优先执行,如果要设置不同的限速,防火墙的规则排序很重要。如果网络内有部分 IP 不限速,那不限速这些 IP 的规则应该在限速规则之前。
觉得内容不错?我要
