OPNsense, que es uno de los mejores cortafuegos de código abierto, tiene una función de modelado del tráfico extremadamente flexible y fiable. Las reglas de modelado se gestionan por separado de las reglas del cortafuegos y otras configuraciones.

La conformación del tráfico, también conocida como conformación de paquetes, es una estrategia de gestión del ancho de banda que retrasa el flujo de paquetes de red específicos para garantizar el rendimiento de la red para aplicaciones de mayor prioridad. Generalmente se utiliza para garantizar que el tráfico de red relacionado con la empresa reciba un alto nivel de servicio. Al retrasar algunos paquetes, la conformación del tráfico puede mejorar o garantizar el rendimiento, reducir la latencia o aumentar el ancho de banda disponible para aplicaciones críticas.

Debido a la limitación de los recursos de red, la conformación del tráfico es una función imprescindible en un cortafuegos de red para garantizar la entrega de datos sensibles al tiempo y el rendimiento de las aplicaciones críticas. Es un potente método de defensa contra los ataques de denegación de servicio distribuidos (DDoS) y para garantizar la calidad del servicio. Protege sus redes contra la congestión de la red, restringe a los clientes abusivos y previene los ciberataques.

Puede que necesite limitar el ancho de banda de Internet para algunos usuarios y, al mismo tiempo, proporcionar el máximo ancho de banda a una aplicación crítica para la empresa, como la voz sobre IP (VoIP), que es especialmente sensible a la latencia.

Traffic Shaper en OPNsense

El tráfico OPNsense se configura mediante tuberías, colas y reglas correspondientes:

• Tuberías (Pipes): Las tuberías se utilizan para definir el ancho de banda permitido.
• Colas (Queues): Las colas establecen un peso dentro de la tubería. El tráfico puede priorizarse creando colas y asignándoles pesos. En otras palabras, cuando el ancho de banda total disponible es limitado, las aplicaciones con mayor peso pueden consumir más ancho de banda que otras.
• Reglas: Las reglas aplican el shaping a un flujo de paquetes específico.

• Interfaz(es)
• origen y destino IP
• dirección del tráfico (entrada/salida)
• número de puerto (aplicación)

La función de conformación de tráfico de OPNsense le permite distribuir el ancho de banda disponible de manera uniforme entre todos los usuarios, garantizando el máximo rendimiento en todo momento.

 Para este ejemplo, dividiremos el tráfico de descarga de Internet entre los usuarios conectados de tal manera que cada usuario reciba hasta un máximo de 1 Mbps.

Paso 1: crear canales de descarga y carga

Create Pipe For Download

Create Pipe For Upload

Paso 2: crear reglas

En la pestaña Reglas, haz clic en el botón + en la esquina inferior derecha. Aparecerá una pantalla Editar regla vacía.

Cree una regla para el tráfico proveniente de Internet (descargar).

sequence	21	Auto generated number, overwrite only when needed
interface	WAN	Select the interface connected to the internet
proto	ip	Select the protocol, IP in our example
source	any	The source address, leave on any
src-port	any	The source port to shape, leave on any
destination	192.168.1.0/24	The destination IP to shape, select LAN network
dst-port	any	The destination port to shape, leave on any
target	PipeDown-1Mbps	Select the 1 Mbps download pipe
description	ShapeDownload	Enter a descriptive name

Crear una regla para el tráfico que va a Internet (carga).

sequence	22	Auto generated number, overwrite only when needed
interface	WAN	Select the interface connected to the internet
proto	ip	Select the protocol, IP in our example
source	192.168.1.0/24	The source IP to shape, select LAN network
src-port	any	The source port to shape, leave on any
destination	any	The destination address, leave on any
dst-port	any	The destination port to shape, leave on any
target	PipeUp-1Mbps	Select the 1 Mbps upload pipe
description	ShapeUpload	Enter a descriptive name

Si deseas limitar el tráfico para una dirección IP específica, simplemente ingrese las direcciones IP en el campo de destino en lugar del rango completo de la red LAN.

Priorizar el uso de colas 

Al utilizar colas podemos influir en el ancho de banda dentro de una tubería y dar a ciertas aplicaciones más ancho de banda que a otras en función de un algoritmo ponderado.

La idea es simple: supongamos que tenemos una tubería de 10 Mbps y 2 aplicaciones, por ejemplo, SMTP (correo electrónico) y http(s). El tráfico http(s) tendrá un peso de 1 y el tráfico SMTP un peso de 9; entonces, cuando toda la capacidad de nuestra tubería esté en uso, el tráfico de correo electrónico obtendrá 9 veces más ancho de banda que nuestro tráfico http(s), lo que dará como resultado 1 Mbps para http(s) y 9 Mbps para SMTP.

Para nuestro ejemplo, solo observamos el tráfico de descarga, pero se puede hacer exactamente lo mismo para el tráfico de carga.

App	Peso	Minimum Bandwidth
SMTP (port 25)	9	9 Mbps
HTTP (80)	1	1 Mbps
HTTPS (443)

• Firewall ‣ Shaper ‣ Pipes

Paso 1 - Crear Download Pipe

En la pestaña Tuberías (Pipes), haz clic en el botón + de la esquina inferior derecha. Aparecerá una pantalla vacía de edición de tuberías.

Crear tubería para descarga (10 Mbps)

enabled	Checked	Check to enable the pipe
bandwidth	10	Numeric value of the desired bandwidth
bandwidth Metric	Mbit/s	Metric to use with the numeric value
mask	(empty)	Leave empty
description	PipeDown-10Mbps	Free field, enter something descriptive

Paso 2 - Crear Colas ( Queues)

En la pestaña Colas, haz clic en el botón + en la esquina inferior derecha. Aparecerá una pantalla de Editar cola vacía. 

 Crear cola para SMTP

enabled	Checked	Check to enable the pipe
pipe	PipeDown-10Mbps	Select our Pipe
weight	9	Weight to use with the numeric value
mask	(empty)	Leave empty
description	Queue-SMTP	Free field, enter something descriptive

Create Queue for HTTP

enabled	Checked	Check to enable the pipe
pipe	PipeDown-10Mbps	Select our Pipe
weight	1	Weight to use with the numeric value
mask	(empty)	Leave empty
description	Queue-HTTP	Free field, enter something descriptive

Paso 3 - Crear reglas

En la pestaña Reglas, haz clic en el botón + en la esquina inferior derecha. Aparecerá una pantalla de Editar regla vacía.

Cree una regla para el tráfico de descarga SMTP (correo electrónico)

sequence	11	Auto generated number, overwrite only when needed
interface	WAN	Select the interface connected to the internet
proto	ip	Select the protocol, IP in our example
source	any	The source address, leave on any
src-port	smtp	The source port to shape, smtp or 25
destination	any	The destination IP to shape, leave on any
dst-port	any	The destination port to shape, leave on any
target	Queue-SMTP	Select the SMTP queue
description	ShapeSMTPDownload	Enter a descriptive name

Crear una regla para el tráfico de descarga HTTP:

sequence	21	Auto generated number, overwrite only when needed
interface	WAN	Select the interface connected to the internet
proto	ip	Select the protocol, IP in our example
source	any	The source address, leave on any
src-port	http	The source port to shape, http or 80
destination	any	The destination IP to shape, leave on any
dst-port	any	The destination port to shape, leave on any
target	Queue-HTTP	Select the HTTP queue
description	ShapeHTTPDownload	Enter a descriptive name

Agregar una regla adicional para el tráfico HTTPS es sencillo, ya que podemos usar la misma cola HTTP si lo deseamos:

sequence	31	Auto generated number, overwrite only when needed
interface	WAN	Select the interface connected to the internet
proto	ip	Select the protocol, IP in our example
source	any	The source address, leave on any
src-port	https	The source port to shape, https or 443
destination	any	The destination IP to shape, leave on any
dst-port	any	The destination port to shape, leave on any
target	Queue-HTTP	Select the HTTP queue
description	ShapeHTTPSDownload	Enter a descriptive name

De esta manera, el tráfico HTTP y HTTPS se tratarán de la misma manera (máximo total de 1 Mbps).

Fuentes:
https://docs.opnsense.org/manual/how-tos/shaper_limit_per_user.html

https://www.zenarmor.com/docs/network-security-tutorials/how-to-set-up-traffic-shaper-in-opnsense