Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2766 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QoS Traffic Selectors in Transparent Mode

jeffm1234
I have UTM configured in transparent mode, both NICs bridged together. I'm not sure how the UTM can tell between source vs destination in this setup since there really isn't an internal or external interface.

When creating my traffic selector should I be setting my source to (Internal Network) and destination to (ANY). My last round of tinkering I put both source and destination to ANY in case it can't tell the difference.

The other thing I was wondering was under
Web Protection > Web Filtering > Advanced

I have some IPs listed under "Skip transparent mode source hosts/nets" will these addresses also be excluded from QoS?

Thanks, until now I've just beeing using UTM for HTTP antivirus and webfiltering. It's been great for that.

Added:
Reading other posts I found I had my traffic selectors enabled but I didn't have QoS enabled on the interface [:(] This probably explains why QoS wasn't working but I still have the above questions. Thanks!


This thread was automatically locked due to age.
  • 0
    Jeff, QoS can't work on a bridge.  What is the mission for this UTM,  and what is the rest of your topology?

    Cheers - Bob
  • 0 in reply to BAlfson
    I've been messing with this on and off all day. I have QoS working in transparent mode now.

    To limit a specific IP I created 2 traffic selectors.

    1. With the source as ANY and destination as the IP I want to limit
    2. With the source as the IP and the destination as ANY

    Then I created a Throttling Rule, selected the traffic selector with the IP as destination and set "Limit: 512 kbit/s for each destination"

    Then created another rule, selected the traffic selector that used the IP as the source and "Limit: 512 kbit/s for each source"

    The result of that is in speed1.jpg, I turned the rules off and that is shown in speed2.jpg.
  • 0 in reply to jeffm1234
    all ip's and sites that u exclude from transparent mode proxy will be NAT so your QOS will not affect to these ip's.
    if u wanna to QOS these ip's u must create another rules in QOS to affect in NAT mode only.
    it's so simple just try.

    since you using QOS with "any" destination or source i recommended you to use "internet" instead of "any"
    because your servers in DMZ may infect with QOS rules !!!

    shakib
  • 0
    I don't think QoS "can't" work on a bridge interface, it's that it becomes much more complicated, when QoS itself is already significantly complicated.

    Some background:

    Traffic throttling, or what most people think of as QoS (being able to reorder packets, buffer packets to be sent later), can only happen as packets leave an interface on the machine. This is a fundamental limitation because a piece of wire has no buffer, all you can do is drop packets when they are over the rate limit on a receiving interface. Setting such rate limits on a receiving interface can be effective for TCP though because TCP should slow down when it encounters packet loss. Setting these limits is called traffic policing in normal terminology. 

    Keep this in mind, in the UTM world, they have different terminology. Bandwidth Pools = Traffic Shaping, and Download throttling = Traffic Policing.  

    This normally works fine with non-bridged interfaces because you can match traffic that leaves the *internal interface*, but when interfaces are bridged all the traffic leaves one interface.  

    Also note that QoS sees the traffic only after the "POSTROUTING" iptables table which is where SNAT (and masquerading) happens, so it becomes difficult to match the intended traffic.  I do believe it's possible though.
  • 0 in reply to jeff.welling
    Thanks for the info on the DMZ. I couldn't find much about QoS with a bridged interface so I posted how I got it working. I don't have a DMZ in my home setup but it's a good change for anyone who does.

    Thanks Jeff... is there a document about UTM QoS anywhere?
  • 0
    Thanks for your persistence.  This is good to know!

    There's apparently been a change since I last visited this issue and got confirmation from Support - probably during V7.

    To get additional ideas, search on QoS in the KnowledgeBase.

    Cheers - Bob
  • 0
    Sophos does not have a lot of documentation on QoS, but luckily they do use the Linux Kernel which means this document is relevant and is where I got most of what I know from: Linux Advanced Routing & Traffic Control HOWTO
  • 0
    IMO, LARTC should be required reading before you're allowed to use the UTM. [:)]