Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2780 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QoS Traffic Selectors in Transparent Mode

jeffm1234
I have UTM configured in transparent mode, both NICs bridged together. I'm not sure how the UTM can tell between source vs destination in this setup since there really isn't an internal or external interface.

When creating my traffic selector should I be setting my source to (Internal Network) and destination to (ANY). My last round of tinkering I put both source and destination to ANY in case it can't tell the difference.

The other thing I was wondering was under
Web Protection > Web Filtering > Advanced

I have some IPs listed under "Skip transparent mode source hosts/nets" will these addresses also be excluded from QoS?

Thanks, until now I've just beeing using UTM for HTTP antivirus and webfiltering. It's been great for that.

Added:
Reading other posts I found I had my traffic selectors enabled but I didn't have QoS enabled on the interface [:(] This probably explains why QoS wasn't working but I still have the above questions. Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    I don't think QoS "can't" work on a bridge interface, it's that it becomes much more complicated, when QoS itself is already significantly complicated.

    Some background:

    Traffic throttling, or what most people think of as QoS (being able to reorder packets, buffer packets to be sent later), can only happen as packets leave an interface on the machine. This is a fundamental limitation because a piece of wire has no buffer, all you can do is drop packets when they are over the rate limit on a receiving interface. Setting such rate limits on a receiving interface can be effective for TCP though because TCP should slow down when it encounters packet loss. Setting these limits is called traffic policing in normal terminology. 

    Keep this in mind, in the UTM world, they have different terminology. Bandwidth Pools = Traffic Shaping, and Download throttling = Traffic Policing.  

    This normally works fine with non-bridged interfaces because you can match traffic that leaves the *internal interface*, but when interfaces are bridged all the traffic leaves one interface.  

    Also note that QoS sees the traffic only after the "POSTROUTING" iptables table which is where SNAT (and masquerading) happens, so it becomes difficult to match the intended traffic.  I do believe it's possible though.
Reply
  • 0
    I don't think QoS "can't" work on a bridge interface, it's that it becomes much more complicated, when QoS itself is already significantly complicated.

    Some background:

    Traffic throttling, or what most people think of as QoS (being able to reorder packets, buffer packets to be sent later), can only happen as packets leave an interface on the machine. This is a fundamental limitation because a piece of wire has no buffer, all you can do is drop packets when they are over the rate limit on a receiving interface. Setting such rate limits on a receiving interface can be effective for TCP though because TCP should slow down when it encounters packet loss. Setting these limits is called traffic policing in normal terminology. 

    Keep this in mind, in the UTM world, they have different terminology. Bandwidth Pools = Traffic Shaping, and Download throttling = Traffic Policing.  

    This normally works fine with non-bridged interfaces because you can match traffic that leaves the *internal interface*, but when interfaces are bridged all the traffic leaves one interface.  

    Also note that QoS sees the traffic only after the "POSTROUTING" iptables table which is where SNAT (and masquerading) happens, so it becomes difficult to match the intended traffic.  I do believe it's possible though.
Children
  • 0 in reply to jeff.welling
    Thanks for the info on the DMZ. I couldn't find much about QoS with a bridged interface so I posted how I got it working. I don't have a DMZ in my home setup but it's a good change for anyone who does.

    Thanks Jeff... is there a document about UTM QoS anywhere?
Cookie Information Banner