Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5562 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QoS seems not working

rahman
Hi, in our university network we need to limit a few IPs bandwidth as they are really using 6 mbps of the 10 mbps connection. And the rest of ~100 users having real trouble with internet speeds.

Here are my configs:


trafic-selector



bandwidht-pool



The problem is; the trafic selector has two ip addresses and these users still using lots of bandwidth, about 6 mbps altough it shoud be 128 kpbs

Hope you can help me to figure out things.


This thread was automatically locked due to age.
  • 0
    Well, there are several issues here...

    First, in order to avoid confusion with the "Internet" object, you should rename your interface to "External" - that's what most people use (although some use "WAN").  In the following, I'll use "External" for that interface.

    In QoS, you only can make rules for traffic the Astaro sends from an interface.  The traffic selector and bandwidth pool above only affect someone uploading high volumes to the internet.  It has no effect on limiting download traffic.

    If HTTP traffic is being handled by the HTTP/S Proxy, the traffic selector above won't apply because all HTTP traffic leaving the External interface is coming from "External (Address)" instead of the proxied addresses.

    Try the following:
    • Create a network group named, for example, "Bandwidth Hogs" and put the host definitions in there that you want to limit.
    • Create a traffic selector 'Any -> Web Surfing -> Bandwidth Hogs'.
    • On the "Internal" interface, create a bandwidth pool with this traffic selector, and limit it to 1mb or some other reasonable number.

    Does that solve your problem?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the hint, here is the updated configs:



    Uploaded with ImageShack.us




    Uploaded with ImageShack.us



    But still no go. The test user is downloading about 500 to 1500 kilobits/s instead of 56 kilobits/s 

    Astaro web security (http proxy) is active btw.
  • 0
    Does your bandwidth pool have a limitation?
  • 0
    Bandwidth (kbit/s): 56
    Specify upper bandwidth limit
    Limit (kbit/s): 56

    I assume you asked this.
  • 0
    Yes, that was my question.  Are you sure your internet download is going through the TRUST interface?  If you watch the HTTP/S live log, do you see your traffic passing?

    Cheers - Bob
  • 0
    in live logs, yes I see my trafic: 2010:07:15-16:39:34 security httpproxy[19041]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.56" user="" statuscode="204" cached="0" profile="REF_lFufjdIgal (GENEL_IZINLER)" filteraction="REF_PGmVpfpnqd (GENEL_IZINLER)" size="0" time="205 ms" request="0xaee9a58" url="www.google.com.tr/csi


    And It has to be TRUST interface but is there a way to confirm this? Maybe a faulty masquerade NAT ?
  • 0
    Since the traffic is going through the proxy, your masq rule is not applied.  That line shows a "no-content" packet - weren't there any lines showing the volumes of traffic?

    Cheers - Bob
  • 0 in reply to BAlfson
    I think there is a kb article on this, but here is how I do it. As Bob said, you have to look at all the bandwidth as if it is going out of astaro. So if you want to throttle downloads, the traffic is leaving the TRUST (LAN) interface.

    The pitfall is that everybody assumes the http definition would work but it doesn't (souce port 1:65535 destination port 80). From the firewall point of view the http definition is traffic leaving source port 80 (server) destination port 1:65535 (client)

    1. Create a new definition HTTP Incoming Screenshot1
    2. Create the traffic selector for the computer you want to throttle.
    3. Add to the bandwidth pool. Screenshot3. (Make sure this is on LAN (TRUST))

    Throttle them till they cry mommy[;)]
  • 0 in reply to BAlfson
    Since the traffic is going through the proxy, your masq rule is not applied.  That line shows a "no-content" packet - weren't there any lines showing the volumes of traffic?

    Cheers - Bob




    here is the log while downloading 1MB file: HTML | 2010:07:16-08:12:06 security h - Anonymous - wwiqPJxF - Pastebin.com
    Hope it helps
  • 0 in reply to Billybob
    I think there is a kb article on this, but here is how I do it. As Bob said, you have to look at all the bandwidth as if it is going out of astaro. So if you want to throttle downloads, the traffic is leaving the TRUST (LAN) interface.

    The pitfall is that everybody assumes the http definition would work but it doesn't (souce port 1:65535 destination port 80). From the firewall point of view the http definition is traffic leaving source port 80 (server) destination port 1:65535 (client)

    1. Create a new definition HTTP Incoming Screenshot1
    2. Create the traffic selector for the computer you want to throttle.
    3. Add to the bandwidth pool. Screenshot3. (Make sure this is on LAN (TRUST))

    Throttle them till they cry mommy[;)]


    I did what exactly you said. But the test user still downloads with 996 kbit/sec.

    Edit: using  8080 instead of 80 dit the trick as I use http proxy.

    Thanks to both of you. I can control the nasty users al last [:)]