Fortigate Firewall’da Traffic Shaping Nedir?

* English versions are added below each paragraph *

Fortigate Firewalllarda “Traffic Shaping” ile belirli bir networkünüzü veya sadece bir IP adresinizi veya tüm networkünüzü sizin belirleyeceğiniz interface tarafına doğru hız kısıtlaması gerçekleştirebilirsiniz. Local ağınızda bir networkünüzden başka bir networke doğru bu hız kısıtlamasını yapabilirken aynı şekilde local ağınızdan WAN tarafına(internete doğru) giden trafiğinizde de yine hız kısıtlamaları yapabilmeniz mümkündür. Kategori bazlı olarak bile traffic shaping kuralları yazabilirsiniz hatta.

With "Traffic Shaping" in Fortigate Firewalls, you can speed limit your specific network or just one IP address or your entire network towards the interface side that you specify. While you can make this speed restriction from one network to another in your local network, it is also possible to make speed restrictions on your traffic going from your local network to the WAN side (towards the Internet). You can even write traffic shaping rules on a category basis.

Örneğin local ağınızdaki kullanıcı networkünüzün internete çıkışında bir hız kısıtlaması olmasını istemiyorsunuz ancak sosyal medya veya youtube.com, dailymotion.com gibi video izleme sitelerine doğru yapılan trafiğin hız kısıtlamasına takılmasını istiyorsunuz. Bunu nasıl yapabileceğinizi aşağıda örneklendirerek basitçe anlatıyor olacağım. Belirttiğim gibi bir çok kısıtlama senaryosu oluşturmak sizin elinizdedir, dilediğiniz gibi bu alanlarda değişiklikler yaparak testlerinizi gerçekleştirip Fortigate Firewallların “Traffic Shaping” özelliğinden kolayca faydalanabilirsiniz.

For example, you don't want to have a speed restriction when your user network in your local network exits the internet, but you want the traffic made towards social media or video watching sites such as youtube.com, dailymotion.com to be blocked by the speed restriction. I will simply explain how you can do this with an example below. As I mentioned, it is in your hands to create many restriction scenarios, you can make changes in these areas as you wish, perform your tests and easily benefit from the "Traffic Shaping" feature of Fortigate Firewalls.

Örneklendirmemize gelecek olursak, “Traffic Shaping” kullanabilmemiz için, öncelikle bir “Shared” veya “Per-IP” olarak shaper oluşturmamız gereklidir. Bunun için, Fortigate Firewallumuzun GUI’si üzerinden “Policy & Objects” ana menüsü altında “Traffic Shaping” alt kırılımına girerek, “Traffic Shapers” alanından “Shared” veya “Per-IP” olarak bir shaper oluşturmak için sol üst köşeden “Create New” butonuna basmamız gerekecektir.

Coming to our example, before we can use "Traffic Shaping", we first need to create a "Shared" or "Per-IP" shaper. For this, by entering the “Traffic Shaping” sub-distribution under the “Policy & Objects” main menu through the GUI of our Fortigate Firewall, from the “Traffic Shapers” field, select “Create New” from the upper left corner to create a shaper as “Shared” or “Per-IP”.

“Create New” butonuna bastıktan sonra karşımıza gelen ekranda, shaperımıza bir isim vermemizi isteyecektir. Bu kısma bir isim belirterek “Traffic Priority” kısmını default olarak gelen “Low” ‘da bırakararak devam edebilirsiniz ve “Maximum Bandwidth” alanına ise bu shaperınızın sonraki adımda belirteceğiniz hedefe ne kadarlık bir hız kullanarak erişmesini istediğinizi girmeniz gerekecektir. Sosyal medya ve youtube gibi sitelere kısıtlama yapmak istediğim için bu alana 50Kbps gibi bir değer giriyorum, bu hızla zaten kullanıcıların sosyal medya erişimleri zorlanacaktır, video izleme sitelerinde 50Kbps ile zaten herhangi bir video açılmayacaktır.

After pressing the "Create New" button, it will ask us to give a name to our shaper on the screen that appears. You can continue by specifying a name in this part, leaving the "Traffic Priority" part in "Low" by default, and in the "Maximum Bandwidth" field, you will need to enter how fast you want this shaper to reach the target you will specify in the next step. Since I want to restrict sites such as social media and youtube, I enter a value such as 50Kbps in this field, with this speed, users' social media access will be difficult, and no video will be opened with 50Kbps on video watching sites.

Akabinde bu alanları doldurup “Apply” dedikten sonra bir önceki sayfaya atacaktır, shaperımızı oluşturduğumuz için bir sonraki adım olarak “Traffic Shaping Policies” kırılımından traffic shaping kuralımızı yazmamız gerekecektir. Bu örneğimde ben local kullanıcılarımdan sadece 1 tanesi için bu kuralı aktif etmeyi tercih ettim ve “Source” kısmında bu kullanıcımın IP Adresini girdim, “Destination” alanına ise belirli bir websitesi yazabilirim veya “ALL” diyerek devam edebilirim ben “ALL” seçerek devam ediyorum bunun akabinde “Application” kısmında ise kategorisi sosyal medya ve video/audio olan websitelerinde bu kısıtlamanın uygulanmasını istediğini belirtiyorum akabinde ise bu websitelerinin hangi interface arkasında olduğunu da belirtmem gerekiyor tabii ki, bu websiteleri benim Fortigate Firewallum için WAN interface arkasındadır yani “virtual wan link” olarak seçimimi yapıp bir önceki adımda oluşturduğum shaper ımı seçerek “OK” butonu ile işlemlerimi tamamlıyorum. “Reverse Shaper” kısmını da açarak bu interfaceten belittiğim source adresime doğru gelen trafiği de yine 50Kbps olarak sınırlandırabilirim. Örnek ekran görüntüsü ise aşağıdaki şekildedir;

Then, after filling these fields and saying “Apply”, it will go to the previous page. Since we have created our shaper, we will need to write our traffic shaping rule from the “Traffic Shaping Policies” breakdown as the next step. In this example, I chose to activate this rule for only 1 of my local users and I entered the IP Address of this user in the "Source" section, I can write a specific website in the "Destination" field or I can continue by saying "ALL". I continue by choosing "ALL". Then, in the "Application" section, I state that I want this restriction to be applied on websites whose category is social media and video/audio. Then, of course, I need to specify which interface these websites are behind, of course, these websites are behind the WAN interface for my Fortigate Firewall, that is, as "virtual wan link". I make my selection and select the shaper I created in the previous step, and complete my operations with the "OK" button. By opening the "Reverse Shaper" section, I can also limit the traffic coming from this interface to my source address, which I have specified, to 50Kbps. An example screenshot is as follows;

Tüm bu işlemlerden sonra belirttiğim kullanıcımın internet tarafında sosyal medya ve video/audio kategorisindeki websitelerine ve uygulamalara “Application” ve “URL Category” alanlarında bu kategorileri belirterek kısıtlamış oldum.

After all these processes, I have restricted the websites and applications in the social media and video/audio category on the internet side of my user, by specifying these categories in the "Application" and "URL Category" fields.

Ek olarak ekran görüntülerinde “Shared Shaper” yanında bir de “Per IP Shaper” olduğunu göreceksinizdir. İkisi arasındaki farkı şöyle açıklayabilirim; “Shared Shaper” olarak ayarlama yaptığınızda, 100mbpslik bir hattınız olduğunu varsayarsak 10 kullanıcınız youtube.com tarafına giderken bu 100mbps hattınızı paylaşarak gidecektir adından da anlaşılabileceği üzere. Ancak “Per IP Shaper” olarak ayarladığınız zaman, 100mbpslik bu hattınız içerdeki 10 kullanıcınız için ayarlayacağınız hız limitine göre atanarak(1mbps olarak varsayarsak) 1mbps olarak youtube.com tarafına erişim yaptıracaktır. Yani 10 kullanıcınız var ve 100mbps hattınız varsa, her bir kullanıcınız 1mbps hız ile youtube.com(veya belirteceğiniz websitelerine vs) tarafına erişebilecektir. 100mbps hattınız hiç kullanılmadığı zamanda bile içerde tek bir kullanıcınız aktif olsa bile bu kullanıcınız yine 1mbps ile youtube.com tarafına erişebilecektir. “Shared Shaper” kullanmadığınız için IP başına 1mbps olarak hız limitini uygulayacaktır. Umarım bu detaylı açıklama kafanızı karıştırmadan, görevini yerine getirebilmiştir 😊

In addition, you will see that there is a "Per IP Shaper" next to "Shared Shaper" in the screenshots. I can explain the difference between the two as follows; When you set it to "Shared Shaper", assuming you have a 100mbps line, 10 of your users will go to youtube.com by sharing your 100mbps line, as the name suggests. However, when you set it as “Per IP Shaper”, this line of 100mbps will be assigned according to the speed limit you will set for your 10 users inside (assuming 1mbps) and will access youtube.com as 1mbps. So if you have 10 users and you have a 100mbps line, each of your users will be able to access youtube.com (or the websites you specify) with 1mbps speed. Even if your 100mbps line is not used at all, even if only one user is active inside, this user will still be able to access youtube.com with 1mbps. Since you are not using “Shared Shaper”, it will impose a speed limit of 1mbps per IP. I hope this detailed explanation was able to fulfill its task without confusing you 😊