用免费软路由pfSense把你的带宽管起来

用免费软路由 pfSense 把你的带宽管起来 2008 10 03 16 32 如果你在负责一个小型网络 无论这个网络是你的家庭网络还是一个小型企业 网络 或早或晚你都会面临这个问题 一小部分用户占据了你的大部分带宽资 源 罪魁祸首通常是使用迅雷下载工具或 BT 软件的人 游戏玩家和视频用户通 常会成为受影响最大的人 多数家用宽带路由缺乏强大带宽管理功能 你或许会认为 这是路由器厂商的一个挣钱的机会 它们可以通过提供带 宽控制功能来让自己的产品卖的更好一些 但是 实际情况上带宽控制功能却 被多数路由器厂商所忽略 只有一小部分公司在其产品中提供带宽控制功能 D Link 是其中一家 它 使用了 Ubicom 的 StreamEngine 自动 QoS 服务质量 技术 但是 StreamEngine 主要是一个上行带宽优化器 专注于让实时通信优先于其它类型 的网络通信 实时通信包括游戏 VOIP 和其它依靠实施传输数据包的应用 图 1 显示了 DGL 4300 路由器中的 GameFuel 设置 需要你做的就是选中 TrafficShaping 然后由路由器在完成其余工作 多数 用户还会选上 AutomaticUplinkSpeed 选项 该选项可以让路由器每次重启的 时候自动探测实际上联的速度 我禁用了这个选项 然后在 ManualUplinkSpeed 中设置了我的上联速度 因为我不希望它每次重启都要执行一遍探测工作 另外 你还可以使用 ADDGameFuelRules 选项来手动设定上联通信的优先级 不过要使用这个功能 你需要知道应用所使用的端口号 通过 ActiveSessions 界面 你可以非常轻松的看到哪些端口需要设置高优先级 不过现在多数 P2P 应用软件都具有改变端口的功能 因此你通常很难通过这个功能来真正过滤它 们 不久前 Linksys 在其个人路由器中增加了一个手动上联 QoS 设定功能 不过 如图 3 所示 这个控制需要手动设置 而且它也只能用于上联通信 不过 Linksys 提供两个相当不错的功能 可以让你根据客户端 MAC 地址 来控制带 宽优先级 以及设定物理交换端口 但是 这些控制同样是仅对上联有效 因 此不能真正的控制某个客户端占用所有下载带宽 用 pfSense 真正把带宽管起来 m0n0wall 的流量整形 TrafficShaping 功能一直被很多朋友当作带宽控 制工具来使用 但是 实事求是的讲 我认为它的规则 队列和管道的概念过 于复杂 因此我希望能找到一个现成的产品来实现简单易用的带宽控制 不过 最近看了一个朋友的一篇文章后 我决定开始尝试一下 pfSense pfSense 是源自于 m0n0wall 的一个操作系统 它可以运行在一台单独 的计算机上 而不是可以仅仅运行在一个嵌入式单片机上 我下载了 1 2 版的 pfSense 并且在我的 DellInspiron4100 笔记本 赛扬 1G 512 内存 上进行了简单的试用 尽管由于我的机器配置较低使用起来感觉 有些慢 不过通过一些简单的实验我发现它可以非常漂亮的实现带宽的控制 当然 由于我把我的笔记本当作一台路由器用 因此我首先要具有第二个 以太网口 pfSense 检测到了 4100 的 3Comcompatible3c905C 网卡作为内部网卡 但是它不能检测到 LinksysPCM20010 100Cardbus 以太网卡 在查阅了 pfSense 的硬件兼容列表后 我购买了一个 D LinkDFE 690TXD 网卡 一切正常了 pfSense 安装完毕后 我使用 Jperf 进行一个快速吞吐率检查 发现 LAN WAN 和 WAN LAN 都具有 90 多 Mbps 的带宽 我不可能在这儿对 pfSense 进行 所有功能的全面试用 但是它的确有一些令人印象深刻的功能 即使你不能把 它像 DD WRT Tomato 那样加载到一个路由器中 从它的功能你可以明白为什么 m0n0wall 具有如此广泛的用户群 pfSense 甚至具有不同的皮肤 不过我只是使用了它的默认皮肤 如图 4 所示 如果你更习惯使用 m0n0wall 的左侧菜单条的风格 你可以切换到 pfSense 皮 肤 流量整形 TrafficShaper 功能在 Firewall 菜单下 当你第一次使用它 的时候会有一个向导来帮助进行设置 通过该向导 可以为常见应用自动配置 规则 队列和管道 并且可以分类管理 你可以非常轻松的实现带宽控制的设 定 而且可以对它们修改或复制来创建新的设置 第一个屏幕要求你输入实际的互联网上行和下行网速 这个地方我建议你 输入你所测到的实际带宽的 80 举个例子来说 如果我的 ADSL 连接的带宽是 3Mbps 640Kbps 那么我可以输入 2500 和 350 Kbps 然后你可以点击 VOIP 屏幕 这儿只有两个控制选项 Provider 和你希望保证 VOIP 应用可以使 用的带宽 Bandwidth 接下来一个屏幕是 PenaltyBox 这是控制带宽的第一个强大功能 如图 5 所示 可以仅仅根据 IP 地址 你可以输入多个 IP 地址 实现简单的控制 设 定上行或下行的带宽控制 尽管 PenaltyBox 功能非常简单 它只是限定进出一个 IP 地址的所有通信的带 宽 但是它也可以让那些喜欢修改端口来躲避带宽控制的用户不再不受约束 接下来是 PeertoPeer 向导 这个控制同样非常简单 通过设置上行和下行 带宽来限制众多 p2p 应用程序 注意 这儿的 P2PCatchAll 选项要慎用 一旦你选择了这个功能 除非你另外有一个更高优先级的规则来设定其它应用 带宽不受限制 所有通信都将受该带宽限制的约束 换句话说 该选项把所有 的通信都当为 p2p 来处理 下一个向导屏幕是网络游戏 NetworkGames 该功能可以用来提升不同游戏 的优先级 如图 7 所示 在这个屏幕上你无需设定一个带宽 只需要选中你 希望优先保证的游戏即可 最后一个向导 RaiseorLowerOtherApplications 提高或降低其它应用程序的 优先级 屏幕带有详细的功能描述 如图 8 你可以针对不同的应用程序来 提高或降低优先级 完成该向导后 规则和队列就已经被自动创建了 如果你感觉还有什么没有设 定好 只需再次运行该向导 你会发现它会记住你之前的选择 测试 修改 pfSense 规则 为了真正查看 pfSense 是否能够真正限制 BitTorrent 所使用的带宽 我在 某台计算机上安装了 BitTorrent6 1 然后选择一个文件开始下载 你可以从图 9 中看到我在启用该规则后的带宽对比 当我重新设定了状态后 BitTorrent 客户端花费了一点时间来重新建立下载链 接 从上图中可以看出经过短时间的缓慢上升 下载带宽恢复到我设定的新的 100Kbps 的下行带宽限制 修改 pfSense 规则 一旦你通过向导创建了基本的规则后 你可以编辑或拷贝它们来满足你的 需要 你只需通过导航访问 Firewall Shaper Rules 就可以重新查看图 6 所示 的屏幕 选择你想编辑或拷贝的规则 然后点击相应的图标 当你的鼠标移动 到一个图标上时 会弹出一个提示窗口告诉你该图标的用途 图 10 所示的是图 6 中第三条规则的编辑界面 尽管这个屏幕上的内容非常多 多数情况下 你只 需要修改目的端口的范围 DestinationPortRange 由于这是一条针对 BitTorrent 的规则 因此我将它设定为 6881 到 6999 如果你想修改这个端口 只需要输入新的端口号 然后点击保存按钮即可 每一条规则都具有一个 Target 域 来设定匹配规则的数据包被发送到哪个队列 要想为不同的应用创建一个新的规则 只需要去找一个使用了具有你想设定带 宽的队列的规则 然后拷贝它 并修改目的端口范围 DestinationPortRange 为新应用程序所使用的端口 保存之后 重设 States 你就完成了新规则的建立和应用 注意 pfSense 中规则的执行顺序是和位置有关的 是从列表中自上而下执 行 因此你应该将限制性更强的规则放在宽松规则的前面 否则限制性更强的 规则将不会被执行 这就是为什么在图 6 中我选择了 P2PCatchAll 选项后将 BitTorrent 规则放在列表的比较靠前的位置 你也可以对已有的队列进行调整 并创建一个新的规则 但是进行这种设 置你要非常谨慎 找出要限制的应用程序的端口 如果你不知道想要限制的应用程序所使用的端口该怎么办 或者说有时候 用户修改了应用程序的端口号或使用了一个代理 这时候限定标准端口将不再 有用 除了把它们放到 PenaltyBox 中外 你还可以使用 PFtop 来查看通信状态 PFtop 是一个小型网管工具 可以实时显示 OpenBSD 的数据包过滤器 pf 的 实时状态和规则统计数据 它也被用在 pfSense 平台上 你可以使用 pfSense 中的 Diagnostics ExecuteShellCommand 功能 如图 11 来快速检查实时通信 连