how do I limit bandwidth for a particular server/rule?

Thanks Bob!  You definitely helped switch on a light bulb as I was assuming that the bw pool interface was the one specified in the traffic selector checked (that's why I had both in and out in one) - I finally realized that it is impossible to view all BW pools at once and you can only see the ones (and create new ones) for the "Bound to Interface" selection towards the top of the screen.  I expected consistency in the gui layout, but I need to be more careful :-)

The problem is I want to filter for HTTPS and not just SMTP.  But I only want to filter it for the Exchange servers.  So I created the attached selector using the untrust IPs of the exchange servers.  And I made an untrust-bound BW pool set to 15mbit upper limit, and an untrust-bound DL throttling rule for 15,000 as well.

Unfortunately when I test downloading a file from the exchange server via HTTPS, I am still pushing around 25-30mbit or more...

edit: tried again using the internal IPs for the Exchange servers and it seems to be working.  it overaggressively limits (i'm only getting up to 10-11mbit and it bounces all over the place as if it's not being shaped cleanly) but at least it's limiting...

related question - where do IPsec tunnels fall in the Sophos definition of "interface"?  if I want to limit traffic over an IPsec tunnel similarly, would that also be applied to the untrust interface?  Traffic selector like TrustLANipOfServer-->Any-->UntrustWANipOfRemoteIpsecGateway?

Thanks again!
Wes

HTTPS is a bit of a different beast than SMTP, Wes.  With web surfing, a small request can generate a lot of return traffic.  You will also need the opposite service, "HTTPS-Response" = "443->1:65535" which you can use in the Bandwidth Pool in place of HTTPS.  I'm assuming that you don't need to worry about inbound HTTPS  uploads.

If you have other HTTPS servers behind the UTM, you might want to take a different approach.  Instead of modifying that Bandwidth Pool, create a Download Throttling rule on the Trust (LAN) interface for 'Exchange -> HTTPS-Response -> Internet'.

Cheers - Bob
PS For IPsec tunnels, look on the 'Advanced' tab of QoS.

edit - the selector in use for the bandwidth pool is currently Exchange-->Any-->Internet IPv4

Wouldn't that cover the https-response ports above, and then some?

"Exchange-->Any-->Internet IPv4" in a Download Throttling rule on the Trust (LAN) interface will work to limit bandwidth being sent to the Internet from Exchange.

Are you using the SMTP Proxy?  Webserver Protection?

Cheers - Bob

Hi bob, we're using neither of those...

If I do a bandwidth throttling rule for each interface/direction, do I even need the bandwidth pool anymore?

Since you're not using those proxies, the task is simplified.  Download Throttling only works for limiting bandwidth.  If you want to guarantee 15Mbps upload, you have to do that with a Bandwidth Pool on the UNTRUST (External) interface.  You can limit upload traffic in that Bandwidth Pool or with a Download Throttling rule on the TRUST (Internal) interface.

Cheers - Bob

awesome, thanks bob.  in this case we are just after limiting.  appreciate all the help!