Êtes-vous un utilisateur de PfSense ? Vous souhaitez configurer une règle de pare-feu pour " limiter " la bande passante que chaque appareil peut utiliser en débit descendant ou ascendant ? Si c'est le cas, vous avez de la chance ! Dans ce guide pas à pas, je vous montrerai comment utiliser l'assistant Traffic Shaper pour créer des restrictions de bande passante sur un appareil ou un réseau. Et si vous avez besoin d'exclure certaines adresses IP de la règle, je vous montrerai également comment le faire.
Pourquoi limiter la bande passante dans Pfsense ?
Si vous avez trouvé ce guide, il y a de fortes chances que vous ayez déjà trouvé un intérêt à limiter la bande passante par appareil. Dans un environnement de bureau ou à domicile, vous pouvez vouloir limiter la bande passante pour :
- Empêcher qu'un seul appareil " tire " trop de bande passante et sature votre réseau.
- Gérer la bande passante par appareil ou par réseau. (Par exemple, le VLAN IoT reçoit 50 Mbps, mais les périphériques utilisant le DHCP reçoivent 100 Mbps).
- Créez des calendriers de bande passante (par exemple, appliquez des restrictions uniquement pendant les heures de bureau, mais pas après les heures de travail, lorsque les sauvegardes du serveur sont en cours).
- Améliorer la clarté des appels téléphoniques VOIP.
Le dernier point était particulièrement pertinent dans mon réseau d'entreprise. Bien que j'aie déjà configuré des règles de mise en forme du trafic QoS sur notre interface VPN, ces règles ne semblent s'appliquer qu'aux téléphones physiquement connectés au siège. Je n'ai pas réussi à faire en sorte que les règles de QoS s'appliquent aux téléphones connectés au VPN. Cela signifie que si un utilisateur commence à télécharger un gros fichier, n'importe quel téléphone connecté au VPN subira des coupures, ce qui entraînera des plaintes et une mauvaise expérience pour les clients sur l'autre ligne.
Je pourrais probablement faire corriger la règle de QoS pour résoudre notre problème principal, mais en fin de compte, nos collaborateurs n'ont pas vraiment besoin de la possibilité de bénéficier de la largeur de bande maximale disponible. Bien sûr, les téléchargements de fichiers prendront un peu plus de temps que ce à quoi les collaborateurs sont habitués. Mais les avantages l'emportent largement sur les inconvénients à mon avis.
Comment créer des règles de Traffic Shaper ?
Connectez-vous à votre pare-feu PfSense. L'adresse IP par défaut est 192.168.1.1, mais comme je dispose de plusieurs VLAN's pour séparer mes réseaux, mon @ip interne est 192.168.3.254 :
Étape 1 : Naviguer vers l'onglet Traffic Shaper
Cliquez sur l'onglet Firewall > Traffic Shaper > Limiters.
Ensuite, cliquez sur New Limiter.
Étape 2 : Créer des limiteurs entrants et sortants
Une fois que vous aurez créé les règles de limitation des flux entrants et sortants, vous appliquerez ces limitations aux règles de pare-feu sur l'interface LAN.
Vous pouvez créer les deux limiteurs ci-dessous sans redémarrer le pare-feu Pfsense. Les limiteurs n'entreront pas en vigueur tant que vous n'aurez pas créé une nouvelle règle de pare-feu et ciblé une certaine adresse ou plage IP. Pour le test, je vous demanderai de tester le limiteur avec l'adresse IP de votre ordinateur d'abord. Si ce test est concluant, vous pourrez alors cibler une plage réseau ou un groupe d'adresses IP (en utilisant un alias IP).
Limiteur entrant
Créez un limiteur comme le montre la capture d'écran ci-dessous.
Cochez la case "Enable limiter and its children", donnez à votre limiteur un nom utile (InLimitLan-100mbps), puis indiquez la largeur de bande du seuil supérieur.
Cliquez ensuite sur Enregistrer. La configuration de votre limiteur de trafic entrant est maintenant terminée.
Limiteur sortant
Créez un limiteur comme le montre la capture d'écran ci-dessous.
Cochez la case "Enable limiter and its children", donnez à votre limiteur un nom pertinent (OutLimitLan-100mbps), puis indiquez ce que vous voulez que votre seuil supérieur de bande passante soit.
Étape 3 : Créer une règle de pare-feu pour le réseau local
Maintenant que les limiteurs sont créés, il est temps de créer une règle de pare-feu sur l'interface LAN qui est utilisée pour limiter la bande passante.
Allez dans Firewall > Rules > onglet LAN.
Descendez jusqu'en bas de la page et créez une nouvelle règle. Veillez à sélectionner la flèche vers le haut pour que la règle soit placée tout en haut.
Rappel : le placement des règles de pare-feu est important car elles sont traitées de haut en bas. Comme nous voulons que cette règle soit appliquée avant toutes les autres règles, nous la plaçons en haut.
Créez votre règle exactement comme la mienne, sauf que vous devez remplacer l'adresse IP dans la section SOURCE par l'adresse IP de votre ordinateur :
Dans la section "Extra Options", cliquez sur "Display Advanced". Un nouveau panneau "Advanced Options" s'affiche.
Faites défiler jusqu'en bas et repérez la section In/Out Pipe. Votre entrée (limiteur de téléchargement) va dans le deuxième emplacement. Votre flux sortant (limiteur de téléchargement) va dans le premier. Si vous avez suivi le processus, ajoutez le vôtre exactement comme je l'ai fait.
Si vous êtes prêt à tester, cliquez sur SAVE. La règle s'appliquera immédiatement. Il n'est pas nécessaire de redémarrer votre PC, le pare-feu, ou de release/renew.
Étape 4 : Test et ajustement de la règle
Ensuite, testez votre règle en allant sur https://speedtest.net. Si tout se passe bien, votre ordinateur ne devrait jamais atteindre la limite supérieure que vous avez configurée. La mienne était fixée à 100mbps, donc comme vous pouvez le voir, elle s'applique correctement :
Gardez à l'esprit que ce n'est pas parce que vous avez fixé une limite stricte de 100mbps que vous allez atteindre 100mbps pour chaque téléchargement de fichier. Cela signifie simplement que vous n'êtes autorisé à utiliser la bande passante que jusqu'à 100mbps, ce qui pourrait être beaucoup plus bas.
Conclusion
Voilà, c'est fait ! C'est quelque chose que je voulais mettre en œuvre depuis un certain temps, mais honnêtement, je pensais que ce serait plus difficile à mettre en œuvre. Si vous rencontrez des problèmes avec la configuration, désactivez simplement la règle du pare-feu pendant que vous continuez à tester.