1

Тема: UTM 50 как создать группу пользователей с квотой 1Гб входящего трафика

Добрый день. Подскажите пожалуйста, как ограничить определенных пользователей с квотой 1гб в день? Буду очень благодарен за подсказку

2

Re: UTM 50 как создать группу пользователей с квотой 1Гб входящего трафика

Можно сделать следующим образом: создать профиль подсчета трафика и указывать его в настройках правила в файерволе.

В Network Security - Services - Traffic Meter создайте профиль с такими параметрами:
Profile Name: 1GB
Direction: Download Only
Download limit: 1000 (1024, как хотите) MB и период, за который должна выставляться квота.
When limit is reached: Block All Traffic
Policy Type: если на каждое упоминание этого профиля подсчета трафика 1 Гб (что возможно вам больше подойдет), то Per Policy, если хотите несколько политик объединить под одним пределом в 1 Гб, то All Policies.

В Network Security - Firewall выбираете нужное вам правило, в его настройках указываете Traffic Meter Profile: 1GB и готово.

Единственное, что не скажу: как пользователи узнают, что достигнута квота, будет ли об этом сообщение, у меня такие ограничения не используются.

Netgear UTM50, SRX5308, FVS318G.

3

Re: UTM 50 как создать группу пользователей с квотой 1Гб входящего трафика

Прошу прощения. Профиль создал, а как привязать к определенным пользователям (ip)?

4

Re: UTM 50 как создать группу пользователей с квотой 1Гб входящего трафика

Тут три варианта. Один вариант - создать LAN-группу компьютеров (Network Config - LAN settings - LAN Groups), другой - создать IP-список (Network Security - Services - IP Groups), третий - несколько экзотический.

1) Network Config - LAN settings - LAN Groups - Edit Group Names- выбираете одну из групп, определяете ее как-нибудь, например 1GB, нажимаете Apply. Далее опять в LAN Groups внизу задаете имя компа (Name), IP Address Type - Fixed, далее IP и MAC компа, далее группу (в этом случае 1GB) и имя VLAN, через который на UTM приходит трафик этих компов. Определив таким образом все компы в LAN-группу 1GB, создаете в Network Security - Firewall правило, в котором в качестве LAN Users указываете только что созданную LAN-группу 1GB. И в этом же правиле соответственно указываете одноименный (1GB) Traffic Meter Profile.

2) Network Security - Services - IP Groups создаете группу IP-адресов, внизу IP Group Name например 1GB, IP Group Type - LAN Group. Add. Далее открываете вновь созданную группу на редактирование и забиваете туда IP-адреса компов, которые туда должны входить. Затем переходите в Network Security - Firewall правило, в котором в качестве LAN Users указываете только что созданную группу IP-адресов 1GB. И в этом же правиле соответственно указываете одноименный (1GB) Traffic Meter Profile.

3) Если у вас эта группа компов, которым нужно ограничить потребление трафика в 1 гиг, лежит, например, в подсети, отличной от defaultVlan, и вы можете подключить их к UTM в отдельный VLAN (например, у них свой свитч), то в Network Config - LAN settings - LAN setup создаете новый VLAN (Add), там ставите, например:
Profile Name: Another Comps
VLAN ID: удобно ставить по номеру LAN-порта, куда подключили эти "особые" компы
Port Membership - соответственно номеру LAN-порта
IP Setup - IP-адрес из той отдельной подсети и ее маска
DHCP - disable, если вы не планируете этим компам раздавать адреса с DHCP-сервера UTM.
Enable DNS Proxy - в общем случае можно поставить галку.
Enable Inter VLAN Routing - поставьте галку, если вы хотите, чтоб через UTM был доступ из defaultVlan в этот создаваемый VLAN.
Обратите внимание, что после создания VLAN в меню Network Config - LAN settings - LAN setup ниже списка VLAN'ов дополнительно нужно проставить соответствие VLAN'ов портам. Не проставите - VLAN не будет "работать".

При создании LAN-групп, групп IP-адресов, VLAN придумайте некую систему различий (например, только большие буквы в названии одних и только маленькие в названии вторых, или некие префиксы типа langTratata, ipgTratata, vlanTratata). Пригодится, когда количество групп, списков, VLAN увеличится, чтоб не возникало путаницы при работе с правилами файервола. Ведь там в параметре LAN Users перечисляются и VLAN, и LAN-группы, и списки IP-адресов.

Netgear UTM50, SRX5308, FVS318G.

5

Re: UTM 50 как создать группу пользователей с квотой 1Гб входящего трафика

Короче геморой))))) Буду пробовать. Спасибо большое)

6

Re: UTM 50 как создать группу пользователей с квотой 1Гб входящего трафика

Никакого геморроя, все удобно smile У меня на UTM много завязано, он отлично справляется. Претензия к нему только одна: при большом количестве правил в файерволе (свыше 30 штук только на выход) начинаются глюки с редактированием правил, об этом тут писал я и не только.

Netgear UTM50, SRX5308, FVS318G.