Ooops squid умеют ограничивать скорость на пользователя только по IP. А теперь представим что он прыгает с компа на комп или 10 чел работают на терминальном сервере - у всех один IP. Чем можно ограничить Васе 5кб а Сереже 20?
>Ooops squid умеют ограничивать скорость на пользователя только по IP.
С чего Вы это взяли?
>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>С чего Вы это взяли?
Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по src тобишь по IP. Есть возможность использовать srcdomain или mac, но это не вариант, так как идет привязка к компу, а хотелось бы формировать access листы приминительно к имени пользователя.
>>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>>С чего Вы это взяли?
>Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по
>src тобишь по IP. Есть возможность использовать srcdomain или mac, но
>это не вариант, так как идет привязка к компу, а хотелось
>бы формировать access листы приминительно к имени пользователя.В самом squid.conf есть КУЧА коментариев, а в разделе про acl есть пунктик, proxy_auth...
Ничего не напоминает? ;) Посмотри, если что, спрашай еще. Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
>>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>>С чего Вы это взяли?
>Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по
>src тобишь по IP. Есть возможность использовать srcdomain или mac, но
Вы толи не те доки читаете, толи слишком диагонально.
>это не вариант, так как идет привязка к компу, а хотелось
>бы формировать access листы приминительно к имени пользователя.
Выбирайте - ident, proxy_auth, external, user_cert, ca_cert, ext_user - ни один из этих типов не требует привязки.>Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
Сквид может делать аутентификацию и без паролей, при чём тут htpasswd?
>>Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
>Сквид может делать аутентификацию и без паролей, при чём тут htpasswd?И верно, прошу прощения, ввожу народ в заблуждение :(
>В самом squid.conf есть КУЧА коментариев, а в разделе про acl есть
>пунктик, proxy_auth...
>Ничего не напоминает? ;) Посмотри, если что, спрашай еще. Да для генерации
>паролей aka passwd файла потребуется htpasswd из апача.
Да-да.. Прошу прощения... Чет я действительно как то по диагонали прочитал :( Спасибо всем кто откликнулся!
Squid, ntlm-авторизация через домен Windows 2003. Задача - разбить пользователей на три группы с разными ограничениями по скорости.
Как должен выглядеть конфиг (или хотя бы какой из атрибутов acl использовать для обозначений пользователей)?
Вот, например, конфиг для нарезки скоростей юзерам по айпишникамacl first src 192.168.0.0/255.255.255.0
acl second src 192.168.1.0/255.255.255.0
delay_pools 2
delay_class 1 1
delay_class 2 1
delay_access 1 deny Pri
delay_access 1 allow Secdelay_access 2 deny Sec
delay_access 2 allow Pri
delay_access 2 deny all
delay_access 1 deny all
delay_parameters 2 -1/-1
delay_parameters 1 8000/8000
Авторизация у меня через домен Windows - ntlm, т.е. в сквиде вообще нигде не значиться никаких имен пользователей (он их берет в домене). Получается, я должен в acl заменить src на ident?
Или ещё варианты:>acl aclname ident username - ACL описывает имя пользователя, от которого запущена
>программа на клиентской машине. Имя узнается с помощью ident-сервера.>acl aclname ident_regex [-i] pattern - то же самое, но основанное на regex
>правилах.>acl aclname proxy_auth username
>acl aclname proxy_auth_regex [-i] pattern - ACL, описывающие имя пользователя. Это
>имя возвращает внешняя авторизующая программа.
Или все из перечисленных выше...
Мне какой нужен-то?
>Вот, например, конфиг для нарезки скоростей юзерам по айпишникам
>
>acl first src 192.168.0.0/255.255.255.0
>
>acl second src 192.168.1.0/255.255.255.0
>delay_pools 2
>delay_class 1 1
>delay_class 2 1
>delay_access 1 deny Pri
>delay_access 1 allow Sec
>
>delay_access 2 deny Sec
>delay_access 2 allow Pri
>delay_access 2 deny all
>delay_access 1 deny all
>
>
>delay_parameters 2 -1/-1
>delay_parameters 1 8000/8000
>
>
> Авторизация у меня через домен Windows - ntlm, т.е. в сквиде
>вообще нигде не значиться никаких имен пользователей (он их берет в
>домене). Получается, я должен в acl заменить src на ident?
>Или ещё варианты:
>
>>acl aclname ident username - ACL описывает имя пользователя, от которого запущена
>>программа на клиентской машине. Имя узнается с помощью ident-сервера.
>
>>acl aclname ident_regex [-i] pattern - то же самое, но основанное на regex
>>правилах.
>
>>acl aclname proxy_auth username
>>acl aclname proxy_auth_regex [-i] pattern - ACL, описывающие имя пользователя. Это
>>имя возвращает внешняя авторизующая программа.
>
>
>Или все из перечисленных выше...
>Мне какой нужен-то?
Например external_acl_type.
если все пользователи работают с сервера приложения от имени одного ип, то ограничение скорости squd ом сделать для каждого пользователя персонально не удастся. все пользователи получат ограничение на ип сервера приложения. и это факт, опровергать прошу предварительно попробовав.
AD + SQUID + авторизация + отдельные шейперы и отдельные правила блокировок, всё это отлично работает, вот вырезки из моего конфига:### auth (users&groups)
acl NTLMauth proxy_auth REQUIRED
acl VIP-group external ntgroup ProxyVipAccess
acl DEF-group external ntgroup ProxyAccess### filter
acl list-porno url_regex -i "/usr/local/etc/squid/filter/porno"
acl list-media url_regex -i "/usr/local/etc/squid/filter/media"
acl list-secure url_regex -i "/usr/local/etc/squid/filter/secure"### activity and shaper's objects
acl workday time MTWHF 09:00-19:00
acl shaper-us url_regex -i "/usr/local/etc/squid/filter/shaper-us"
acl shaper-dl url_regex -i "/usr/local/etc/squid/filter/shaper-dl"### VIP users (no limit)
http_access allow NTLMauth VIP-group### default users
http_access deny NTLMauth DEF-group list-porno
deny_info http://proxy.compulink.ru/replace/block-p.html list-porno
http_access deny NTLMauth DEF-group list-media
deny_info http://proxy.compulink.ru/replace/block-m.html list-media
http_access deny NTLMauth DEF-group list-secure
deny_info http://proxy.compulink.ru/replace/block-s.html list-secure
http_access allow NTLMauth DEF-group### Deny access to all others
http_access deny all### Shaper - (за эт не пинать, я как раз сейчас провожу тонкий тюнинг шейпера.
### приведенные настройки delay_pools на данный момент очень примитивные,
### но отлично выполняют следующие функции:
# 1. режет скорость до 5 кбайт/с после закачки объекта более чем 512 кбайт
# 2. причём только для группы пользователей ProxyAccess (простые смертные)
# 3. причём только в рабочее время (см. acl workday выше)
# 4. причём только для объектов, перечисленных в acl shaper-dl
# кусочек shaper-dl:
# \.iso$ \.mp3$ \.avi$ и т.д. - тестировал на скачке образа FreeBSD - отлично работает
# причем если начать качать два одновременно ISO-файла, то согласно правилу, суммарная
# скорость также не будет превышать 5кбайт/с. При этом доступ к веб-страничкам и т.п. -
# останется на полной скорости.delay_pools 2
delay_class 1 2
delay_class 2 2delay_access 1 allow shaper-us
delay_access 2 allow NTLMauth DEF-group workday shaper-dl
delay_access 2 deny all
delay_parameters 1 -1/-1 -1/-1
delay_parameters 2 5000/512000 5000/512000
== доработал шейперы, выше приведенный неудачный, так как
== delay_parameters 2 5000/512000 5000/512000 - выделяет для всей группы всего 5кбайт/с
== ну и заодно пришёл к выводу о том, что VIP-ам тоже скорость нужно резать, не так жостко
== как остальным - но всё же нада, т.к. VIP-ов не меньше 10-ка.delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2# не шейпить локальные ресурсы через прокси
delay_access 1 allow shaper-us
# шейпер для смертных (ProxyAccess группа)
delay_access 2 allow NTLMauth DEF-group workday shaper-dl
delay_access 2 deny all
# шейпер для VIP-ов (ProxyVipAccess)
delay_access 3 allow NTLMauth DEF-group workday shaper-dl
delay_access 3 deny alldelay_parameters 1 -1/-1 -1/-1
delay_parameters 2 -1/-1 16000/1048576
delay_parameters 3 -1/-1 64000/5242880== p.s. в моей конторе два инет-канала, поэтому цифры подбирайте под свою полосу в инете.
== пулы делают безлимитными, т.к. транспорт - это полностью железяки от cisco, соот-но,
== весь трафик по пути маркируется, и всё что идёт от прокси - отношу к классу
== "best-effort", то есть по-русски "было бы неплохо если он дойдёт, но если не дойдет, то
== и хрен с ним ;)", сервисы и прочее - соот-но имеют больший приоритет, и общий трафик
== для прокси , если в будущем будет необходимо, лучше шейпить на cisco - это ИМХО,
== чем на прокси.