Caro Júnior,
É isso mesmo, "Política de Estrangulamento de Banda". Você determina o tamanho máximo de download sem limitação de velocidade e a taxa máxima que será permitida pelo proxy após atingido este tamanho. A classe 1 tem prioridade e se aplica à toda sub-rede, enquanto a classe 2 é aplicada por clientes (limitados a 256)
Só para esclarecer o que postei sobre a impossibilidade de se fazer um controle minucioso do tráfego que entra por uma interface, esta restrição não é exclusiva da Zentyal, mesmo com CBQ ou HTB (que particularmente acho melhor) o problema ainda existe. Não conheço as entranhas do MyAuth, pode ser que ele possua algum mecanismo intermediário como os que citei.
A explicação para isso é a seguinte:
Os pacotes que trafegam na rede são gravados em buffers de recepção e transmissão ligados à interface de rede. Um processo local sabe quando o buffer de transmissão está cheio e "segura" o envio de pacotes, ou seja, não existe a perda destes internamente. Um processo externo (em outro host) não tem conhecimento que o buffer de recepção do destino está cheio e continua a mandar pacotes, os quais são simplesmente ignorados pela interface até que haja espaço no buffer para recebê-los, o que acarreta perda de pacotes. Isto é especialmente verdade nos casos de protocolos sem aviso de recebimento, como SMTP ou UDP. Pois bem, aqui já temos um "controle de banda" natural, onde a taxas são limitadas pelas capacidades dos buffers e também pela capacidade do meio de conexão. No protocolo TCP, o mecanismo de controle de transmissão percebe as perdas e ajusta o ritmo para reduzí-las, "economizando" o link pela menor quantidade de retransmissões. Mesmo assim as taxas podem saturar a conexão, então, no caso do TCP, podemos limitá-las ajustando o tamanho do buffers.
Em um controle de banda avançado os pacotes são classificados (marcados) conforme critérios como origem, destino, protocolo, portas, etc., e roteados, de acordo com esta classificação, para buffers com capacidades pré-definidas, permitindo-se fazer a limitação seletivamente. Acontece que esta marcação no cabeçalho do pacote só pode ser feita e utilizada internamente, ou seja, pacotes recebidos de fora não podem ser discriminados. Assim, se quisermos limitar determinado protocolo, serviço, ip, etc, ou dar garantia de banda a outro, a ação tem que ser aplicada na saída da interface conectada à rede interna. Mas note que, ainda desta forma, estaremos apenas regulando os fluxos que atravessam a máquina controladora, e não impedindo que os pacotes vindos de fora continuem batendo à porta da interface externa.
Abraços,