Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 947 views
  • Users 0 members are here
Options
Suggested

Adding mass networks.

Simon Shaw
I would like to be able to add a large number of subnets to my ASL in order to limit speed to this group of networks using QoS.

The number of network definitions I want to add is too many to enter manually.

I eventually want to setup a packet filter rule:

From [My workstation IP]
Service
To [Large number of subnets]
Allow
Low priority

Is this possible in some way ?

Probably several hundred subnets... What sort of performance impact will this have ?
  • 0
    Well, I guess this all depends on what the subnets are.  Do you have a lot of subnetted networks (i.e. 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, etc)?  If so, why not create a Network definition that is 192.168.0.0/16, which is the supernet of all the smaller subnets. 
  • 0
    Do you really need a large number of individual subnets in order to give one group of users lower outbound priority? Maybe you should rethink the problem, and come up with a simpler solution.

    If I was one of your users, restricted the way you would like to have it set up, I could still browse the web and download enormous files, completely hogging the incoming bandwidth. A small URL packet goes out, and one or more large files comes in. Your approach won't do anything to prevent that.

    QoS is most useful when it is configured to give some types of traffic (specific IP services) priority of other types. As an example, to give VOIP, IPsec and PPTP traffic higher priority than FTP and HTTP traffic.

    You obviously wish to prioritize your outbound traffic on the basis of its source network or specific IP address. However, that may not be the most practical granularity to apply to QoS.  
  • 0 in reply to VelvetFog
    The problem is the service in question uses dynamic ports, otherwise I'd just assign the service lower priority.

    This isnt a critical thing but it would be kind of nice to be able to do it.

    Basically. I want to assign all ISP's in my city to the group since we get free traffic to/from local ISP's.

     
  • 0
    Taking into account what VF has said, if you still need to do this, the files in /etc/wfe/conf that would need to be updated are netdata and sgnetdata; the formats are fairly straightforward. Enter a sample network and/or network group and see how it enters it. Then make a script that generates the files and transfer it to the box (coming from Windows land? dos2unix).


    Question is, will the "large" groups you have in mind make your firewall drag? (Example: you click on the network definitions and they take a long time to load; or the PF rules that use these large groups take a fair amount of time to process, so firewall packet transfers are slow...)
       
  • 0 in reply to SecApp
    Thanks for the info.

    Yes I'm worried the number of subnets will bog the system down too much.  Guess can only try... Interesting lil project for me to do [:)] 
Cookie Information Banner