Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.404] Limit youtube/similar traffic

Mast_01
Is there a way that using QoS i can limit painlessly(i.e. "checking a checkbox") traffic from youtube or streaming sites?(and for that matter, free download sites like rapidshare).
clients are using the http proxy and thos sites eat the BW(and no, blocking them is not an option)


This thread was automatically locked due to age.
  • 0
    Hi,

    Can you give more information, perhaps on how you have setup your firewall, screen shots etc, this might help us find a solution for you.

    Cheers,

    F.B
  • 0 in reply to FairyBurst
    It's nothing spectacular the setup:
    one internet connection w/1 public ip, 2 LANs(to all purposes, it's only 1)
    HTTP proxy with standard mode, no auth set, 2 groups(one for each lan with different blocking categories).

    that's it, no qos rules set, nothing.
  • 0
    Mast, QoS is not the answer for this.  On the 'Content Filter' tab od 'HTTP/S', you can block those sites.  If you want to have different blocks for different groups, then you will need to use 'Profiles' to establish different Filter Assignemnts for each group.  If you aren't using authorization, you'll need a separate profile for each subnet.  Search this forum on "designing" for some suggestions and links to documentation.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,
    i don't want to block those sites i just want to limit their bandwidth to a certain maximum(i.e. 64kbps and itf the link is idle, 300 kbps)

    right now the only good way to do that is to put a shaping box with L7 capability(mikrotik comes to mind) betwwen the ASL and the internet connection, and that's only a crappy solution as it's global and i need more granularity
  • 0 in reply to Mast_01
    Mast, the Astaro can't limit per-connection bandwidth, just overall bandwidth.  That is, you only can limit the total of all traffic to certain IPs to 64kbps.  There's no option to measure "idleness" and up that total to 300kbps.

    Rather than be seen as a limiter of certain types of traffic, think of using it as a way to guarantee at least a minimum level of service for selected traffic.  So, although it's important to know who the bad guys are, the first question to ask is, "What services used by the good guys get slowed down when the bad guys are soaking up bandwidth?"  If you can tell us that, I think there are several of us who might have a suggestion.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,
    sepparating by traffic would work if we'd be talking about different protocols, but i'm talking about HTTP only, other services are fine as they are slow tolerant.(the only type of traffic i could separate is outgoing pptp vpn but it's not of consequence now)

    bad guys using youtube/downloaders slow to a crawl browsing for the good guys
  • 0
    HTTP traffic is a bit tricky because the bottleneck is usually the uplink by which requests are sent.

    You'll need rules on the External Interface that limit the "request" traffic for the youtube/downloaders and to guarantee enough uplink traffic to allow your other surfers to request what they want.

    Traffic is defined by the triad 'Source->Service->Destination'.

    Once a particular connection meets the criteria for a rule, the remaining rules are not considered.

    So, place the limiting rule for "barely tolerated" traffic first, and limit traffic to 30kbps (you might need to make this even smaller; some experimenting will give you the optimal result).  Place the rule for the 'Internal (Network) -> Web Surfing -> Any' second and guarantee it, for example, 1mbps or half the available bandwidth.

    What does that give you?

    Chers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    but youtube/streaming traffic doesn't has a request choke problem, the problem i'm having is that the downstream gets saturated(i've been monitoring BW usage and uplink is negligible)
  • 0 in reply to Mast_01
    Just establishing the QoS rule on the External interface might solve your problem.  As the Astaro manual says, "shaping of inbound traffic is optimized internally by various techniques such as Stochastic Fairness Queuing (SFQ) or Random Early Detection (RED)."

    If that doesn't work, then you might want to try putting the sites into the transparent mode skiplist and allowing inbound traffic in the packet filter.  That should let you create a traffic selector for inbound traffic and throttle the traffic with an upper limit in QoS on a bandwidth pool for the Internal interface.  The selector here would look like '[Networks in transparent mode skiplist]->Web Surfing->[Internal IPs of "bad guys"]'

    Cheers - Bob
    PS Yes, uplink is negligable, that's why I guessed that a very low number might be needed to throttle the requests for the undesirable traffic.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA