Postado originalmente por
catvbrasil
Eu não queria me pronunciar antes de testar a regra, mas analizando-as tive algumas conclusões (não finais ainda sobre esta forma). Para não termos mais uns 500 participantes aqui reclamando que não conseguiram, vamos a analize das regras:
Lá em IP>FIREWALL>MANGLE
As 3 regras do mangles, são basicamente para marcar os pacotes na saida interna do Mikrotik (não a saida LinK Internet), na qual podemos ter as seguintes conclusões:
A 1ª regra, marca todos os pacotes que SAEM do web-proxy, pela porta escolhida (8080, 3128, etc). Esta regra apenas marca os pacotes e repassa para a 2ª regra.
A 2ª regra pega todos estes pacotes marcados, pela regra anterior e marca conexões através desta base. Da mesma forma que a outra regra, os pacotes são analizados e repassados novamente para a 3ª regra. Note que da forma que está configurado, todos os pacotes são marcados e TODOS os pacotes são enviados para a 3ª regra.
Na 3ª regra é solicitado um retorno de TODOS os pacotes que saem do web-proxy, para serem posteriormente entregues a seus destinos corretamente. Da forma que nosso amigo sugeriu, colocando um ! nesta regra, ele simplesmente diz para o mikrotik pegar todos os pacotes que saem internamente do router, MENOS os pacotes do proxy full (os mesmos marcados anteriormente)... Não vejo muita utilidade nisso, pois estamos tratando basicamente de pacotes que entram, saem ou passam pelo WEB-PROXY. Uma outra forma de fazer a mesma coisa é apenas na 2ª regra desligar a opção PASSTROUGHT e colocar a 3ª regra do RETURN sem nenhuma opção "!" ou marcação de nada;
Pulando para as próximas regras, analizamos as da queue:
A regra da queue simple, especificadamente a do proxyfull, funciona da seguinte forma:
A regra recebe TODOS as conexões marcadas, na segunda regra do Mangle, e simplesmente dá banda máxima a todas estas conexões...
Uma outra coisa que nosso amigo sugeriu é mudar a banda dos clientes para 20k (se por exemplo ele tem 200k de banda), e mudar a interface de ALL para a ETHER1 (se esta for a dos clientes). Analizando isso, posso chegar as seguintes conclusões:
Primeiro, mudando a banda do cliente para 20k, basicamente não adiantaria nada, pois o estouro de banda ocorre tanto para download quanto navegação. Isso teoricamente iria reduzir a banda do cliente para 20k, mas devido o estouro ocorrer já na output interna do Mikrotik, de nada adianta você controlar aqui... A segunda sugestão seria mudar a interface para a ether1. Não veria muita utilidade nisso, pois quando mudamos a interface, estamos apenas falando ao mikrotik que queremos aplicar aquelas limitações a tal inteface ou seja, basicamente eu estarei limitando apenas o tráfego na ether1 e na saida (internet), não haveria limitação de nada... Temos um problema que quando o proxy full não está bem configurado, todas as solicitações externas são feitas pelo WEB-PROXY e não mais pelo cliente... Por isso que há estouro de banda, pois não há controle de banda para a saida do web-proxy...
Analizando as regras acima, posso chegar as pre-liminares que isso não irá funcionar... Como estou dizendo ainda não testei; Vou testar e dar o veredito final a esta regra, mas a princípio, hoje, não acredito que isso seja a solução. Mesmo assim, funcionando ou não, parabéns, e não desista...
PS: Lembre-se que se sua banda sai sem controle nenhum para os clientes, eles vão te amar, te venerar; Afinal estão navegando com toda sua banda disponível... O ideal é você monitorar o tráfego da interface de saida e ver se há excesso...