QoS limit Media streaming [7.306]

In Astaro Security Gateway, priority traffic is configured on the Network >> Quality of Service (QoS) tabs, where you can reserve guaranteed bandwidths for certain types of outbound network traffic passing between two points in the network, whereas shaping of inbound traffic is optimized internally by various techniques such as Stochastic Fairness Queuing (SFQ) or Random Early Detection (RED).

I think that means if I want to provide QoS for web servers being accessed by the outside world, I set the QoS for the (uplink of the) External interface.  And, if I'm trying to set it to shape Internet browsing by people inside the Astaro, I set it on the Internal.

Thanks - Bob
PS My original post above had this backwards, but is now corrected after reading Gert's post in another thread.

That would make sense to me Bob.  
 
My setup is a bit different though, my ethernet interfaces are bridged.

Hi Scott, 

unfortunatly QoS settings are very limited in Bridge mode. 
Your scenario can currently not be realized, as the QoS settings are only applied on the routed interface on the bridge, but unfortunatly not for the traffic flowing through the bridge. 

Regards
Gert

Gert, das koennte man von der Dokumentation nicht verstanden.  Es gibt fast keine Beispiele, und davon ergreifft man zu wenig.

OK, Scott, Gert gave some specific instructions in https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39102.

Based on his post, I've revised my post above to fit with my new understanding of how QoS is configured.

I wish the manual would use consistent terminology.  In the explanation of how it works, the words "inbound" and "outbound" are used, but all of the configuration instructions are discussed in terms of "uplink" and "downlink."

Grumble - Bob

Thanks Gert and Bob.  I'll consider dropping the use of bridged mode.

I figured out why I'm seeing such a large amount of outbound data.  Looks like some internet radio stations are doing the same thing that CNN just got caught doing with it's live video.  
 
If you want to listen to the station, it uses your system as a transparent media server to share the stream to others.
 
I've created packet filters to drop any outbound from the two worst services that I see, RSTP and port 8004.  Hopefully this'll stop my bandwidth drain without killing listening to the audio streams for my end users.

That's interesting, Scott; could you give me an example of one of these evil online radio stations?  I'd like to dig into this one...

Bruce, there's lots of articles about what CNN did and how, cnn live video p2p - Google Search

The radio stations are probably using the same software.

Barry

Bruce, there's lots of articles about what CNN did and how, cnn live video p2p - Google Search

The radio stations are probably using the same software.

Barry

I'll see what I can get you Bruce.  I actually put in place packet filters to block outgoing traffic from several of the services I've seen involved, port 8004 and RSTP, this morning.  The only other one I'm noticing now is HTTP-ALT.  I'm trying to get a little more clarification on this one (It's shown in Accounting, but is apparently a "hidden" definition and could actually be one or more of several different ports that commonly fall under this name.)  
 
Be aware though that often times the addresses I'm seeing in the Astaro reporting are proxy-hosts or shared hosting servers, so just plugging them into a media player won't get you the applicable stream.  
 
Since I'm using the accounting features to track this and it isn't obvious what's happening until the bandwidth usage builds up over time, I don't notice for several hours.  
 
It really stands out for me first thing in the morning, when I see some workstation has sent hundreds of MB since midnight, when the user left their media player running overnight.  It's fairly trivial then to correlate the endpoint server shown in accounting, the port/service used, and a netstat from the workstation on my end.

Ok Bruce, got one for you.
 
di.fm is the url. Hosted on a server at 208.122.58.162.  The user is listening to the Vocal Trance feed.  Inbound, the traffic has been 7.4MB, which is fine for a media stream. Outbound though it's sent out 300MB through the HTTP-ALT service.

I found another particularly nasty one.  The stream host is at spacialnet.com.  Sucked about 424MB in a couple of hours.  I've created a DNS group for this domain and a packetfilter to block all outgoing traffic from my internal network to this DNS group.  Seems to be working as the traffic total hasn't risen since I enabled the packet filter.

Thanks for the info... I'll have some fun with it.