URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5562
[ Назад ]

Исходное сообщение
"SQUID: ограничение группы по количеству подключений?"
Отправлено CX , 19-Май-08 12:22

Добрый день.
Админю в небольшом институте (около 50 машин). Студенты ходят в нет в своем ACL'е по ARP-маске. Вопрос в следующем: необходимо, чтобы каждый из студентов качал не более X-одновременных TCP-потоков. Если я сейчас прописываю ACL типа "max_conn" - то он срабатывает для всей группы студентов, а нужно, чтобы правило срабатывало для каждого студента из группы (т.е. для каждого студентского компьютера). Возможно-ли такое замутить?

Содержание

SQUID: ограничение группы по количеству подключений?,ipmanyak, 12:18 , 20-Май-08
- SQUID: ограничение группы по количеству подключений?,CX, 13:10 , 27-Май-08
  - SQUID: ограничение группы по количеству подключений?,ipmanyak, 15:06 , 27-Май-08
SQUID: ограничение группы по количеству подключений?,NEO, 22:08 , 28-Май-08
- SQUID: ограничение группы по количеству подключений?,NEO, 22:10 , 28-Май-08
  - SQUID: ограничение группы по количеству подключений?,CX, 12:38 , 02-Июн-08

Сообщения в этом обсуждении

"SQUID: ограничение группы по количеству подключений?"
Отправлено ipmanyak , 20-Май-08 12:18

>Добрый день.
>
>Админю в небольшом институте (около 50 машин). Студенты ходят в нет в
>своем ACL'е по ARP-маске. Вопрос в следующем: необходимо, чтобы каждый из
>студентов качал не более X-одновременных TCP-потоков. Если я сейчас прописываю ACL
>типа "max_conn" - то он срабатывает для всей группы студентов, а
>нужно, чтобы правило срабатывало для каждого студента из группы (т.е. для
>каждого студентского компьютера). Возможно-ли такое замутить?
мути или по ip или по мак адресу

"SQUID: ограничение группы по количеству подключений?"
Отправлено CX , 27-Май-08 13:10

>ipmanyak
Так вот и не получается. Пишу сдедующее:
...
acl students arp "/usr/local/etc/squid/acl/students.arp"
...
acl stud_deny url_regex -i "/usr/local/etc/squid/acl/stud.deny"
...
acl students_deny url_regex -i "/usr/local/etc/squid/acl/students.deny"
...
acl limit maxconn 3
...

#Administrator's configuration:
...
http_access deny stud_deny
deny_info TISIT_STUD_DENIED stud_deny
...
http_access deny students limit
http_access allow students !students_deny
...
http_access deny all

В результате 3 сессии накладываются на всю студенческую группу, что не есть гуд. Как наложить ограничение на каждую машину в группе?

"SQUID: ограничение группы по количеству подключений?"
Отправлено ipmanyak , 27-Май-08 15:06

> Как наложить ограничение на каждую машину в группе?
В файле "/usr/local/etc/squid/acl/students.arp" что написано? Как выглядит твоя маска?
Попробуй перечислить в этом файле не маску arp, а каждый мак-адрес, по одному в строке.
На крайний случай пиши аксели для каждого мака.

"SQUID: ограничение группы по количеству подключений?"
Отправлено NEO , 28-Май-08 22:08

>Добрый день.
>
>Админю в небольшом институте (около 50 машин). Студенты ходят в нет в
>своем ACL'е по ARP-маске. Вопрос в следующем: необходимо, чтобы каждый из
>студентов качал не более X-одновременных TCP-потоков. Если я сейчас прописываю ACL
>типа "max_conn" - то он срабатывает для всей группы студентов, а
>нужно, чтобы правило срабатывало для каждого студента из группы (т.е. для
>каждого студентского компьютера). Возможно-ли такое замутить?
Проверь это:
acl deny_conc max_user_ip -s 20
http_access deny deny_conc
deny_info http://hell.info/concurrent_browse_deny.php deny_conc

acl aclname max_user_ip [-s] number
#         # This will be matched when the user attempts to log in from more
#         # than <number> different ip addresses. The authenticate_ip_ttl
#         # parameter controls the timeout on the ip entries.
#         # If -s is specified the limit is strict, denying browsing
#         # from any further IP addresses until the ttl has expired. Without
#         # -s Squid will just annoy the user by "randomly" denying requests.
#         # (the counter is reset each time the limit is reached and a
#         # request is denied)
#         # NOTE: in acceleration mode or where there is mesh of child proxies,
#         # clients may appear to come from multiple addresses if they are
#         # going through proxy farms, so a limit of 1 may cause user problems.

"SQUID: ограничение группы по количеству подключений?"
Отправлено NEO , 28-Май-08 22:10

>[оверквотинг удален]
>is reset each time the limit is reached and a
>#         # request is
>denied)
>#         # NOTE: in
>acceleration mode or where there is mesh of child proxies,
>#         # clients may
>appear to come from multiple addresses if they are
>#         # going through
>proxy farms, so a limit of 1 may cause user problems.
>
Измени подход к делу,может поможет

"SQUID: ограничение группы по количеству подключений?"
Отправлено CX , 02-Июн-08 12:38

ipmanyak>
Файл "/usr/local/etc/squid/acl/students.arp" как раз содержит:
00:00:e2:24:ed:ec
00:0d:87:24:b6:41
00:0d:87:24:49:18
00:0a:e6:d6:87:56

Ошибся с расширением, правильней бы было назвать файл "students.mac" чтобы не водить достопочтенный народ в заблуждение! :) Это я, конечно, пофиксю, но всё же предложенное тобой решение писать отдельный ACL на каждую студенческую машину + max_con - пока единственно возможное в моём случае. Некрасиво, конечно, и весьма громоздко, не думал, что в SQUID _отсутствует_ однострочное решение такой проблемы. :(
>NEO
Твоё предложение касается одновременного доступа пользователей с _разных_ IP-адресов, а задача стоит ограничивать кол-во сессий для _одного_ IP-адреса. Так что, ой!