The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ограничение скорости пользователя по имени а не по IP"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Ограничение скорости пользователя по имени а не по IP"  
Сообщение от Николай (??) on 13-Апр-07, 13:19 
Ooops squid умеют ограничивать скорость на пользователя только по IP. А теперь представим что он прыгает с компа на комп или 10 чел работают на терминальном сервере - у всех один IP.  Чем можно ограничить Васе 5кб а Сереже 20?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от idle (ok) on 13-Апр-07, 15:03 
>Ooops squid умеют ограничивать скорость на пользователя только по IP.
С чего Вы это взяли?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от Ximik on 03-Май-07, 14:42 
>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>С чего Вы это взяли?
Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по src тобишь по IP. Есть возможность использовать srcdomain или mac, но это не вариант, так как идет привязка к компу, а хотелось бы формировать access листы приминительно к имени пользователя.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от AntreKotik email on 04-Май-07, 07:51 
>>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>>С чего Вы это взяли?
>Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по
>src тобишь по IP. Есть возможность использовать srcdomain или mac, но
>это не вариант, так как идет привязка к компу, а хотелось
>бы формировать access листы приминительно к имени пользователя.

В самом squid.conf есть КУЧА коментариев, а в разделе про acl есть пунктик, proxy_auth...
Ничего не напоминает? ;) Посмотри, если что, спрашай еще. Да для генерации паролей aka passwd файла потребуется htpasswd из апача.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от idle (ok) on 04-Май-07, 12:22 
>>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>>С чего Вы это взяли?
>Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по
>src тобишь по IP. Есть возможность использовать srcdomain или mac, но
Вы толи не те доки читаете, толи слишком диагонально.
>это не вариант, так как идет привязка к компу, а хотелось
>бы формировать access листы приминительно к имени пользователя.
Выбирайте - ident, proxy_auth, external, user_cert, ca_cert, ext_user - ни один из этих типов не требует привязки.

>Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
Сквид может делать аутентификацию и без паролей, при чём тут htpasswd?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от AntreKotik email on 04-Май-07, 12:54 
>>Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
>Сквид может делать аутентификацию и без паролей, при чём тут htpasswd?

И верно, прошу прощения, ввожу народ в заблуждение :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от Ximik on 07-Май-07, 15:08 
>В самом squid.conf есть КУЧА коментариев, а в разделе про acl есть
>пунктик, proxy_auth...
>Ничего не напоминает? ;) Посмотри, если что, спрашай еще. Да для генерации
>паролей aka passwd файла потребуется htpasswd из апача.
Да-да.. Прошу прощения... Чет я действительно как то по диагонали прочитал :( Спасибо всем кто откликнулся!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от Seventh email(??) on 18-Май-07, 14:22 
Squid, ntlm-авторизация через домен Windows 2003. Задача - разбить пользователей на три группы с разными ограничениями по скорости.
Как должен выглядеть конфиг (или хотя бы какой из атрибутов acl использовать для обозначений пользователей)?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от Seventh email(??) on 18-Май-07, 14:50 
Вот, например, конфиг для нарезки скоростей юзерам по айпишникам

acl first         src 192.168.0.0/255.255.255.0
acl second        src 192.168.1.0/255.255.255.0
delay_pools 2
delay_class 1 1
delay_class 2 1
delay_access 1 deny  Pri
delay_access 1 allow Sec

delay_access 2 deny Sec
delay_access 2 allow Pri
delay_access 2 deny  all
delay_access 1 deny  all


delay_parameters 2 -1/-1
delay_parameters 1 8000/8000


Авторизация у меня через домен Windows - ntlm, т.е. в сквиде вообще нигде не значиться никаких имен пользователей (он их берет в домене). Получается, я должен в acl заменить src на ident?
Или ещё варианты:

>acl aclname ident username - ACL описывает имя пользователя, от которого запущена
>программа на клиентской машине. Имя узнается с помощью ident-сервера.

>acl aclname ident_regex [-i] pattern - то же самое, но основанное на regex
>правилах.

>acl aclname proxy_auth username
>acl aclname proxy_auth_regex [-i] pattern - ACL, описывающие имя пользователя. Это
>имя возвращает внешняя авторизующая программа.


Или все из перечисленных выше...
Мне какой нужен-то?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от idle (ok) on 22-Май-07, 10:39 
>Вот, например, конфиг для нарезки скоростей юзерам по айпишникам
>
>acl first         src 192.168.0.0/255.255.255.0
>
>acl second        src 192.168.1.0/255.255.255.0
>delay_pools 2
>delay_class 1 1
>delay_class 2 1
>delay_access 1 deny  Pri
>delay_access 1 allow Sec
>
>delay_access 2 deny Sec
>delay_access 2 allow Pri
>delay_access 2 deny  all
>delay_access 1 deny  all
>
>
>delay_parameters 2 -1/-1
>delay_parameters 1 8000/8000
>
>
> Авторизация у меня через домен Windows - ntlm, т.е. в сквиде
>вообще нигде не значиться никаких имен пользователей (он их берет в
>домене). Получается, я должен в acl заменить src на ident?
>Или ещё варианты:
>
>>acl aclname ident username - ACL описывает имя пользователя, от которого запущена
>>программа на клиентской машине. Имя узнается с помощью ident-сервера.
>
>>acl aclname ident_regex [-i] pattern - то же самое, но основанное на regex
>>правилах.
>
>>acl aclname proxy_auth username
>>acl aclname proxy_auth_regex [-i] pattern - ACL, описывающие имя пользователя. Это
>>имя возвращает внешняя авторизующая программа.
>
>
>Или все из перечисленных выше...
>Мне какой нужен-то?
Например external_acl_type.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от Аноним on 24-Ноя-07, 17:32 
если все пользователи работают с сервера приложения от имени одного ип, то ограничение скорости squd ом сделать для каждого пользователя персонально не удастся. все пользователи получат ограничение на ип сервера приложения. и это факт, опровергать прошу предварительно попробовав.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от sVe email on 06-Дек-07, 16:58 
AD + SQUID + авторизация + отдельные шейперы и отдельные правила блокировок, всё это отлично работает, вот вырезки из моего конфига:

### auth (users&groups)
acl NTLMauth    proxy_auth      REQUIRED
acl VIP-group   external        ntgroup ProxyVipAccess
acl DEF-group   external        ntgroup ProxyAccess

### filter
acl list-porno url_regex -i "/usr/local/etc/squid/filter/porno"
acl list-media url_regex -i "/usr/local/etc/squid/filter/media"
acl list-secure url_regex -i "/usr/local/etc/squid/filter/secure"

### activity and shaper's objects
acl workday time MTWHF 09:00-19:00
acl shaper-us url_regex -i "/usr/local/etc/squid/filter/shaper-us"
acl shaper-dl url_regex -i "/usr/local/etc/squid/filter/shaper-dl"

### VIP users (no limit)
http_access allow NTLMauth VIP-group

### default users
http_access deny NTLMauth DEF-group list-porno
deny_info http://proxy.compulink.ru/replace/block-p.html list-porno
http_access deny NTLMauth DEF-group list-media
deny_info http://proxy.compulink.ru/replace/block-m.html list-media
http_access deny NTLMauth DEF-group list-secure
deny_info http://proxy.compulink.ru/replace/block-s.html list-secure
http_access allow NTLMauth DEF-group

### Deny access to all others
http_access deny all

### Shaper - (за эт не пинать, я как раз сейчас провожу тонкий тюнинг шейпера.
### приведенные настройки delay_pools на данный момент очень примитивные,
### но отлично выполняют следующие функции:
# 1. режет скорость до 5 кбайт/с после закачки объекта более чем 512 кбайт
# 2. причём только для группы пользователей ProxyAccess (простые смертные)
# 3. причём только в рабочее время (см. acl workday выше)
# 4. причём только для объектов, перечисленных в acl shaper-dl
# кусочек shaper-dl:
# \.iso$ \.mp3$ \.avi$ и т.д. - тестировал на скачке образа FreeBSD - отлично работает
# причем если начать качать два одновременно ISO-файла, то согласно правилу, суммарная
# скорость также не будет превышать 5кбайт/с. При этом доступ к веб-страничкам и т.п. -  
# останется на полной скорости.

delay_pools 2

delay_class 1 2
delay_class 2 2

delay_access 1 allow shaper-us
delay_access 2 allow NTLMauth DEF-group workday shaper-dl
delay_access 2 deny  all
delay_parameters 1 -1/-1 -1/-1
delay_parameters 2 5000/512000 5000/512000

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Ограничение скорости пользователя по имени а не по IP"  
Сообщение от sVe email on 11-Дек-07, 19:38 
== доработал шейперы, выше приведенный неудачный, так как
== delay_parameters 2 5000/512000 5000/512000 - выделяет для всей группы всего 5кбайт/с
== ну и заодно пришёл к выводу о том, что VIP-ам тоже скорость нужно резать, не так жостко
== как остальным - но всё же нада, т.к. VIP-ов не меньше 10-ка.

delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2

# не шейпить локальные ресурсы через прокси
delay_access 1 allow shaper-us
# шейпер для смертных (ProxyAccess группа)
delay_access 2 allow NTLMauth DEF-group workday shaper-dl
delay_access 2 deny  all
# шейпер для VIP-ов (ProxyVipAccess)
delay_access 3 allow NTLMauth DEF-group workday shaper-dl
delay_access 3 deny  all

delay_parameters 1 -1/-1 -1/-1
delay_parameters 2 -1/-1 16000/1048576
delay_parameters 3 -1/-1 64000/5242880

== p.s. в моей конторе два инет-канала, поэтому цифры подбирайте под свою полосу в инете.
== пулы делают безлимитными, т.к. транспорт - это полностью железяки от cisco, соот-но,
== весь трафик по пути маркируется, и всё что идёт от прокси - отношу к классу
== "best-effort", то есть по-русски "было бы неплохо если он дойдёт, но если не дойдет, то
== и хрен с ним ;)", сервисы и прочее - соот-но имеют больший приоритет, и общий трафик
== для прокси , если в будущем будет необходимо, лучше шейпить на cisco - это ИМХО,
== чем на прокси.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру