如何在 pfSense 的惩罚框中限制 IP 使用的带宽

Question

我们正在尝试使用称为Penalty Box的 pfSense 流量整形功能。我们有兴趣将特定 IP 的带宽限制为 2%。

注意：pfSense中存在一个四年前的错误，您可以选择除百分比之外的其他限制选项（例如kbit/s、bit/s、Mbit/s）。但是选择除%导致错误之外的任何选项。理想情况下，我会将这个 IP 限制为1 bit/s.

创建/应用规则后，受惩罚的 IP 将占用大部分链接（例如 80%），而不是 2%：

如何使用 pfSense Penalty Box 功能来限制特定 IP 的带宽？

问题是它一直占用太多带宽，导致其他（未受惩罚的）IP 地址匮乏。

Answer 1

老问题但值得更新，以防其他人看到它或它仍然相关。该错误现已在一年前被标记为“已解决” - 如果没有，那么您需要让他们知道。

对于简单的情况，您可以在相关接口上使用防火墙规则来获得您想要的效果。“高级”选项允许一些相当复杂的丢弃/通过规则，这些规则可用于为特定 IP 设置最大状态、连接、连接速率、连接超时和调度（何时强制执行），也可以（可选）为特定的远程 IP/端口。这可能就是您找到合适的解决方案/解决方法所需的全部内容。也可能是它们的大量流量位于特定端口或 url/IP 范围，您可以将规则缩小到这些连接。

您还可以使用“强制门户”，并将其设置为透明/不活动/不适用于除此之外的大多数 IP。该 IP 上的强制门户将提供不同的方法来设置/关闭 IP 上的带宽，而不依赖于流量整形。

（如果您确实想将流量设置为“1 位”，并且其他相关人员都允许这样做，那么这可能意味着阻止而不是限制带宽。在这种情况下，LAN 防火墙规则也是您的朋友。）

最后一个想法 - 如果您想专门控制该 IP，将您的“问题”IP 放在不同的子网（例如 10.1.0.0/16）中可能会有所帮助，或者作为别名，设置路由（如果适用），以便它们可以与其他 10 个子网通信.xxx LAN IP无需任何更改，然后您可以轻松地为这些用户的连接定义和维护不同的规则和策略。