URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4839
[ Назад ]

Исходное сообщение
"Ограничение скорости пользователя по имени а не по IP"

Отправлено Николай , 13-Апр-07 13:19 
Ooops squid умеют ограничивать скорость на пользователя только по IP. А теперь представим что он прыгает с компа на комп или 10 чел работают на терминальном сервере - у всех один IP.  Чем можно ограничить Васе 5кб а Сереже 20?

Содержание

Сообщения в этом обсуждении
"Ограничение скорости пользователя по имени а не по IP"
Отправлено idle , 13-Апр-07 15:03 
>Ooops squid умеют ограничивать скорость на пользователя только по IP.
С чего Вы это взяли?

"Ограничение скорости пользователя по имени а не по IP"
Отправлено Ximik , 03-Май-07 14:42 
>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>С чего Вы это взяли?
Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по src тобишь по IP. Есть возможность использовать srcdomain или mac, но это не вариант, так как идет привязка к компу, а хотелось бы формировать access листы приминительно к имени пользователя.



"Ограничение скорости пользователя по имени а не по IP"
Отправлено AntreKotik , 04-Май-07 07:51 
>>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>>С чего Вы это взяли?
>Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по
>src тобишь по IP. Есть возможность использовать srcdomain или mac, но
>это не вариант, так как идет привязка к компу, а хотелось
>бы формировать access листы приминительно к имени пользователя.

В самом squid.conf есть КУЧА коментариев, а в разделе про acl есть пунктик, proxy_auth...
Ничего не напоминает? ;) Посмотри, если что, спрашай еще. Да для генерации паролей aka passwd файла потребуется htpasswd из апача.


"Ограничение скорости пользователя по имени а не по IP"
Отправлено idle , 04-Май-07 12:22 
>>>Ooops squid умеют ограничивать скорость на пользователя только по IP.
>>С чего Вы это взяли?
>Тогда подскажите как сие возможно? Во всех доках идет формирование ACL по
>src тобишь по IP. Есть возможность использовать srcdomain или mac, но
Вы толи не те доки читаете, толи слишком диагонально.
>это не вариант, так как идет привязка к компу, а хотелось
>бы формировать access листы приминительно к имени пользователя.
Выбирайте - ident, proxy_auth, external, user_cert, ca_cert, ext_user - ни один из этих типов не требует привязки.

>Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
Сквид может делать аутентификацию и без паролей, при чём тут htpasswd?


"Ограничение скорости пользователя по имени а не по IP"
Отправлено AntreKotik , 04-Май-07 12:54 
>>Да для генерации паролей aka passwd файла потребуется htpasswd из апача.
>Сквид может делать аутентификацию и без паролей, при чём тут htpasswd?

И верно, прошу прощения, ввожу народ в заблуждение :(


"Ограничение скорости пользователя по имени а не по IP"
Отправлено Ximik , 07-Май-07 15:08 
>В самом squid.conf есть КУЧА коментариев, а в разделе про acl есть
>пунктик, proxy_auth...
>Ничего не напоминает? ;) Посмотри, если что, спрашай еще. Да для генерации
>паролей aka passwd файла потребуется htpasswd из апача.
Да-да.. Прошу прощения... Чет я действительно как то по диагонали прочитал :( Спасибо всем кто откликнулся!


"Ограничение скорости пользователя по имени а не по IP"
Отправлено Seventh , 18-Май-07 14:22 
Squid, ntlm-авторизация через домен Windows 2003. Задача - разбить пользователей на три группы с разными ограничениями по скорости.
Как должен выглядеть конфиг (или хотя бы какой из атрибутов acl использовать для обозначений пользователей)?

"Ограничение скорости пользователя по имени а не по IP"
Отправлено Seventh , 18-Май-07 14:50 
Вот, например, конфиг для нарезки скоростей юзерам по айпишникам

acl first         src 192.168.0.0/255.255.255.0
acl second        src 192.168.1.0/255.255.255.0
delay_pools 2
delay_class 1 1
delay_class 2 1
delay_access 1 deny  Pri
delay_access 1 allow Sec

delay_access 2 deny Sec
delay_access 2 allow Pri
delay_access 2 deny  all
delay_access 1 deny  all


delay_parameters 2 -1/-1
delay_parameters 1 8000/8000


Авторизация у меня через домен Windows - ntlm, т.е. в сквиде вообще нигде не значиться никаких имен пользователей (он их берет в домене). Получается, я должен в acl заменить src на ident?
Или ещё варианты:

>acl aclname ident username - ACL описывает имя пользователя, от которого запущена
>программа на клиентской машине. Имя узнается с помощью ident-сервера.

>acl aclname ident_regex [-i] pattern - то же самое, но основанное на regex
>правилах.

>acl aclname proxy_auth username
>acl aclname proxy_auth_regex [-i] pattern - ACL, описывающие имя пользователя. Это
>имя возвращает внешняя авторизующая программа.


Или все из перечисленных выше...
Мне какой нужен-то?


"Ограничение скорости пользователя по имени а не по IP"
Отправлено idle , 22-Май-07 10:39 
>Вот, например, конфиг для нарезки скоростей юзерам по айпишникам
>
>acl first         src 192.168.0.0/255.255.255.0
>
>acl second        src 192.168.1.0/255.255.255.0
>delay_pools 2
>delay_class 1 1
>delay_class 2 1
>delay_access 1 deny  Pri
>delay_access 1 allow Sec
>
>delay_access 2 deny Sec
>delay_access 2 allow Pri
>delay_access 2 deny  all
>delay_access 1 deny  all
>
>
>delay_parameters 2 -1/-1
>delay_parameters 1 8000/8000
>
>
> Авторизация у меня через домен Windows - ntlm, т.е. в сквиде
>вообще нигде не значиться никаких имен пользователей (он их берет в
>домене). Получается, я должен в acl заменить src на ident?
>Или ещё варианты:
>
>>acl aclname ident username - ACL описывает имя пользователя, от которого запущена
>>программа на клиентской машине. Имя узнается с помощью ident-сервера.
>
>>acl aclname ident_regex [-i] pattern - то же самое, но основанное на regex
>>правилах.
>
>>acl aclname proxy_auth username
>>acl aclname proxy_auth_regex [-i] pattern - ACL, описывающие имя пользователя. Это
>>имя возвращает внешняя авторизующая программа.
>
>
>Или все из перечисленных выше...
>Мне какой нужен-то?
Например external_acl_type.


"Ограничение скорости пользователя по имени а не по IP"
Отправлено Аноним , 24-Ноя-07 17:32 
если все пользователи работают с сервера приложения от имени одного ип, то ограничение скорости squd ом сделать для каждого пользователя персонально не удастся. все пользователи получат ограничение на ип сервера приложения. и это факт, опровергать прошу предварительно попробовав.

"Ограничение скорости пользователя по имени а не по IP"
Отправлено sVe , 06-Дек-07 16:58 
AD + SQUID + авторизация + отдельные шейперы и отдельные правила блокировок, всё это отлично работает, вот вырезки из моего конфига:

### auth (users&groups)
acl NTLMauth    proxy_auth      REQUIRED
acl VIP-group   external        ntgroup ProxyVipAccess
acl DEF-group   external        ntgroup ProxyAccess

### filter
acl list-porno url_regex -i "/usr/local/etc/squid/filter/porno"
acl list-media url_regex -i "/usr/local/etc/squid/filter/media"
acl list-secure url_regex -i "/usr/local/etc/squid/filter/secure"

### activity and shaper's objects
acl workday time MTWHF 09:00-19:00
acl shaper-us url_regex -i "/usr/local/etc/squid/filter/shaper-us"
acl shaper-dl url_regex -i "/usr/local/etc/squid/filter/shaper-dl"

### VIP users (no limit)
http_access allow NTLMauth VIP-group

### default users
http_access deny NTLMauth DEF-group list-porno
deny_info http://proxy.compulink.ru/replace/block-p.html list-porno
http_access deny NTLMauth DEF-group list-media
deny_info http://proxy.compulink.ru/replace/block-m.html list-media
http_access deny NTLMauth DEF-group list-secure
deny_info http://proxy.compulink.ru/replace/block-s.html list-secure
http_access allow NTLMauth DEF-group

### Deny access to all others
http_access deny all

### Shaper - (за эт не пинать, я как раз сейчас провожу тонкий тюнинг шейпера.
### приведенные настройки delay_pools на данный момент очень примитивные,
### но отлично выполняют следующие функции:
# 1. режет скорость до 5 кбайт/с после закачки объекта более чем 512 кбайт
# 2. причём только для группы пользователей ProxyAccess (простые смертные)
# 3. причём только в рабочее время (см. acl workday выше)
# 4. причём только для объектов, перечисленных в acl shaper-dl
# кусочек shaper-dl:
# \.iso$ \.mp3$ \.avi$ и т.д. - тестировал на скачке образа FreeBSD - отлично работает
# причем если начать качать два одновременно ISO-файла, то согласно правилу, суммарная
# скорость также не будет превышать 5кбайт/с. При этом доступ к веб-страничкам и т.п. -  
# останется на полной скорости.

delay_pools 2

delay_class 1 2
delay_class 2 2

delay_access 1 allow shaper-us
delay_access 2 allow NTLMauth DEF-group workday shaper-dl
delay_access 2 deny  all
delay_parameters 1 -1/-1 -1/-1
delay_parameters 2 5000/512000 5000/512000


"Ограничение скорости пользователя по имени а не по IP"
Отправлено sVe , 11-Дек-07 19:38 
== доработал шейперы, выше приведенный неудачный, так как
== delay_parameters 2 5000/512000 5000/512000 - выделяет для всей группы всего 5кбайт/с
== ну и заодно пришёл к выводу о том, что VIP-ам тоже скорость нужно резать, не так жостко
== как остальным - но всё же нада, т.к. VIP-ов не меньше 10-ка.

delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2

# не шейпить локальные ресурсы через прокси
delay_access 1 allow shaper-us
# шейпер для смертных (ProxyAccess группа)
delay_access 2 allow NTLMauth DEF-group workday shaper-dl
delay_access 2 deny  all
# шейпер для VIP-ов (ProxyVipAccess)
delay_access 3 allow NTLMauth DEF-group workday shaper-dl
delay_access 3 deny  all

delay_parameters 1 -1/-1 -1/-1
delay_parameters 2 -1/-1 16000/1048576
delay_parameters 3 -1/-1 64000/5242880

== p.s. в моей конторе два инет-канала, поэтому цифры подбирайте под свою полосу в инете.
== пулы делают безлимитными, т.к. транспорт - это полностью железяки от cisco, соот-но,
== весь трафик по пути маркируется, и всё что идёт от прокси - отношу к классу
== "best-effort", то есть по-русски "было бы неплохо если он дойдёт, но если не дойдет, то
== и хрен с ним ;)", сервисы и прочее - соот-но имеют больший приоритет, и общий трафик
== для прокси , если в будущем будет необходимо, лучше шейпить на cisco - это ИМХО,
== чем на прокси.