Pour éviter qu'un utilisateur ne sature votre bande passante, vous pouvez configurer pfSense pour limiter la bande passante en téléchargement et/ou en envoi, ainsi que prioriser certains types de trafic (tel que la VoIP, par exemple) pour assurer une qualité de service suffisante (QoS), même lorsque la bande passante est fortement utilisée.

1. Gérer la qualité de service (QoS) et limiter la bande passante via un assistant
2. Limiter la bande passante en envoi (création d'un limiteur)
3. Limiter la bande passante en envoi (ajout des files d'attente)
4. Limiter la bande passante pour le téléchargement (création d'un limiteur)
5. Limiter la bande passante pour le téléchargement (ajout des files d'attente)
6. Appliquer les limites de bandes passantes sur le pare-feu
7. Tester la limitation de la bande passante réseau en envoi et en téléchargement

1. Gérer la qualité de service (QoS) et limiter la bande passante via un assistant

Dans notre cas, nous possédons un abonnement Internet avec de la fibre optique.
D'où le débit de téléchargement et le débit d'envoi qui sont plutôt élevés.

Pour configurer la qualité de service et la limitation de bande de passante sous pfSense, allez dans : Firewall -> Traffic Shaper.

Comme vous pouvez le voir, vous pourrez configurer le Traffic Shaper par interface, utiliser des files d'attente (queues), des limiteurs (limiters), ainsi que des assistants préinstallés (wizards).

Pour ce 1er exemple, nous utiliserons l'assistant "Dedicated Links".
Pour cela, allez dans l'onglet "Wizards" et cliquez sur le lien : traffic_shaper_wizard_dedicated.xml.

Dans l'assistant "pfSense Traffic Shaper" qui s'affiche, indiquez combien d'interfaces WAN (Internet) vous possédez et cliquez sur Next.
Par défaut : 1.

Note : le seul cas où vous en aurez plusieurs est si vous avez configuré du multi-WAN sous pfSense.

A l'étape "1. Shaper configuration - Connection #1 parameters", configurez ces paramètres :

• Local interface : LAN. L'interface "LAN" de pfSense où se trouvent les ordinateurs dont il faut limiter la bande passante.
• Local interface : par défaut, PRIQ. Permet de choisir la file d'attente alternative (ALTernate Queueing ou ALTQ) qui sera utilisée pour la priorisation du trafic grâce aux différentes files d'attente utilisées par QoS.
  Pour connaitre la différence entre les différentes options proposées ici, référez-vous à la page : ALTQ Scheduler Types | pfSense Documentation.
• WAN Interface : WAN. L'interface "WAN" de pfSense qui correspond à l'interface connectée à Internet.
• WAN Interface : par défaut, PRIQ. Les différents types de files d'attente alternatives (ALTQ) proposés sont les mêmes que pour l'interface locale.
• Upload : 5 - Mbit/s. Indiquez la vitesse d'envoi maximum qui sera autorisée pour l'ensemble du LAN vers l'interface WAN (Internet).
• Download : 40 - Mbit/s. Indiquez la vitesse de téléchargement maximum qui sera autorisée pour l'ensemble du LAN depuis l'interface WAN (Internet).

Ensuite, cliquez sur Next.

A l'étape "2. Voice over IP", vous pourrez prioriser le trafic VoIP en cochant la case "Prioritize Voice over IP traffic" pour assurer la qualité des appels téléphoniques avec des téléphones sur IP.

A l'étape "3. Penalty Box", vous pourrez pénaliser une adresse IP (ou un alias d'IP) qui aurait tendance à vouloir saturer votre bande passante inutilement en cochant la case "Penalize IP or Alias".

A l'étape "4. Peer to Peer networking", vous pourrez réduire la priorité du trafic lié aux logiciels de partage de fichiers en cochant la case "Lower priority of Peer-to-Peer traffic".
En ce type de trafic réseau à tendance à saturer facilement la bande passante réseau.

En bas de page, cliquez sur Next.

A l'étape "5. Network Games", vous pourrez prioriser le trafic réseau lié à différentes plateformes officielles et légales de téléchargement de jeux, tels que : EA Origin Client d'Electronic Arts (EA), Steam, Xbox Live, ... en cochant la case "Prioritize network gaming traffic".

A cette étape, vous pourrez également de prioriser le trafic de certains jeux connus, tels que : Battlefield, Call of Duty (COD), Counterstrike, World of Warcraft, ...
Ce qui évitera aux jeux de lagguer et aux personnages de se téléporter au lieu de se déplacer.

A l'étape "6. Raise or lower other Applications", vous pourrez régler la priorité pour la qualité de service (QoS) de différents protocoles connus, tels que :

• Remote Service / Terminal emulation : MSRDP pour le bureau à distance de Windows, VNC, ...
• Messengers : Google Hangouts, Teamspeak, ...
• VPN : PPTP et IPSEC.
• Multimedia/Streaming : RTSP, RTMP, ...
• Web : HTTP pour les sites web.
• Mail : SMTP pour l'envoi d'e-mail, POP3 et IMAP pour la réception d'e-mails.
• etc : DNS, SNMP, MySQL, ...

A l'étape "7. Reload Profile", cliquez sur "Finish" pour appliquer toute la configuration que vous venez de faire.

Cliquez sur "Reload Filter" et vous verrez que pfSense régénérera les règles liées aux limiteurs de Traffic Shaper.

Source : Using the Shaper Wizard to Configure ALTQ Traffic Shaping | pfSense Documentation.

Dans "Firewall -> Traffic Shaper", vous verrez que des configurations ont été effectuées dans l'onglet "By Interface" :

• WAN
  • qACK
  • qDefault
• LAN
  • qLink
  • qACK

Si vous cliquez sur "WAN", vous verrez que le type de file d'attente utilisé est "PRIQ" et que la bande passante pour l'envoi est limitée, dans notre cas, à 5 Mbits/s.

Si vous cliquez sur "LAN", vous verrez que le type de file d'attente utilisé est à nouveau "PRIQ" (par défaut) et que la bande passante pour le téléchargement vers le LAN est limitée, dans notre cas, à environ 40 Mbits/s (environ 40960 Kbit/s).

Dans l'onglet "By Queue", vous trouverez 3 queues (si vous n'avez configuré que la limitation de la bande passante réseau) qui ont été configurées par l'assistant utilisé précédemment : qACK, qDefault et qLink.

Si vous testez votre bande passante grâce à un site comme "speedtest.net", vous verrez que pfSense limite bien la bande passante réseau pour le téléchargement et l'envoi.