The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Снова ACL, как оптимальнее описать ограничения?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [Проследить за развитием треда]

"Снова ACL, как оптимальнее описать ограничения?"
Сообщение от panel emailИскать по авторуВ закладки(??) on 09-Июн-04, 15:02  (MSK)
Добрый день! Требуется ограничить скорость закачки всем в сетке (каждому по 8К), а пяти хостам - по 40К каждому. Дело в том, что IP этих хостов (статические) идут не подряд, а разбросаны по всему диапазону. Как правильно (оптимально) составить списки ACL в этом случае? Не хочется делать по пулу на хост.

Спасибо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от ipmanyak Искать по авторуВ закладки(ok) on 10-Июн-04, 06:43  (MSK)
>Добрый день! Требуется ограничить скорость закачки всем в сетке (каждому по 8К),
>а пяти хостам - по 40К каждому. Дело в том, что
>IP этих хостов (статические) идут не подряд, а разбросаны по всему
>диапазону. Как правильно (оптимально) составить списки ACL в этом случае? Не
>хочется делать по пулу на хост.
>
>Спасибо.
вариантов несколько
1
# в файле special_users перечисляешь  по одному ip в строке
acl special_users  src "/usr/local/squid/etc/special_users"
2
acl special_users  src 10.131.2.5 192.168.5.1 192.168.0.2 и так далее

3
acl special_users  src 10.131.2.5
acl special_users  src 192.168.5.1
acl special_users  src  192.168.0.2

2 и 3 варианты равнозначны

4
acl special_users  src 10.131.2.5-125/255.255.255.0
в случае перечисления одиночных  ip в строке акселя возможно нужно добавить маску 255.255.255.255, щас не помню,  нужно уточнить, а может и не надо  - проверь сам
с пулами думаю сам разберешься

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от as Искать по авторуВ закладки(??) on 10-Июн-04, 08:48  (MSK)
>маску 255.255.255.255, щас не помню,  нужно уточнить, а может и
>не надо  - проверь сам
>с пулами думаю сам разберешься

Маску писать надо, легче в САЙДР /32

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от panel emailИскать по авторуВ закладки(??) on 10-Июн-04, 11:13  (MSK)
Добрый день! Я наверное не совсем коректно поставил вопрос. Если не затруднит, приведу пример для троих юзеров.

#Определяем всех юзеров в локальной сетке,
#первого большого сосуна,
#второго и третьего.

acl all_users_in_local_net src 192.168.1.0/24
acl first_big_sosun  src 192.168.1.5/255.255.255.255
acl second_big_sosun  src 192.168.1.14/255.255.255.255
acl third_big_sosun  src 192.168.1.28/255.255.255.255

#Определяем количество пулов

delay_pools 4

#Определяем классы пулов, первый - второго класса
#(каждому пользователю из сетки по "ведру"),
#остальные - первого (сосунам - каждому по "ведру").

delay_class 1 2
delay_class 2 1
delay_class 3 1
delay_class 4 1

#Теперь расписываем, какой пул для кого

delay_access 1 allow all_users_in_local_net
delay_access 1 deny first_big_sosun
delay_access 1 deny second_big_sosun
delay_access 1 deny third_big_sosun

delay_access 2 allow first_big_sosun
delay_access 2 deny second_big_sosun
delay_access 2 deny third_big_sosun
delay_access 2 deny all_users_in_local_net

delay_access 3 allow second_big_sosun
delay_access 3 deny first_big_sosun
delay_access 3 deny third_big_sosun
delay_access 3 deny all_users_in_local_net

delay_access 4 allow third_big_sosun
delay_access 4 deny second_big_sosun
delay_access 4 deny first_big_sosun
delay_access 4 deny all_users_in_local_net

#Собственно параметры пулов:
#каждому юзеру в сетке - ограничение по 8К,
#общего ограничения нет,
#первому сосуну - 40К,
#второму - 45К,
#третьему - 46К.

delay_parameters 1 -1/-1 8000/300000
delay_parameters 2 40000/300000
delay_parameters 3 45000/300000
delay_parameters 4 46000/300000

Где во всём этом ошибки?
Если заморачиваться с интервалами IP, то тогда получается, что ограничение можно установить на весь интервал. Соответственно юзера в этом интервале - как пауки в банке.
Вобщем подскажите, где я заблуждаюсь?

Спасибо.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от ipmanyak Искать по авторуВ закладки(ok) on 10-Июн-04, 14:53  (MSK)
вот тут ошибка, смотри ниже:

#Собственно параметры пулов:
#каждому юзеру в сетке - ограничение по 8К,
#общего ограничения нет,
#первому сосуну - 40К,
#второму - 45К,
#третьему - 46К.

delay_parameters 1 -1/-1 8000/8000
delay_parameters 2 40000/40000
delay_parameters 3 45000/45000
delay_parameters 4 46000/46000

чтобы ты понял принцип delay poool читай ниже пример:

delay_parameters 2 -1/-1 2000/16000
-1/-1 – весь канал отдать сквиду  - анлимитед, а индивдуально на каждого юзверя ведерки по 16кб, а струйка в него в 2кб !  (сначала быстро усосет 16кб, а потом будет лить со скоростью в 2кб/cек)  точнее - быстро будет усасывать объекты размером до 16кб , объекты больше 16кб будет сосать на скорости 2кб/cек

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от panel emailИскать по авторуВ закладки(ok) on 10-Июн-04, 17:51  (MSK)
Так оно и есть:
#все юзера в сетке (кроме оговоренных ниже)тащут файлы
#размером до 300К без ограничений, как только попадается
#файл более 300К, то скорость падает до 8Кб/с
#(первые 300К утаскиваются из "ведра" быстро, а потом - тормоза),
#на всех этих юзеров вместе взятых (кроме оговоренных ниже)
#ограничения в данном случае нет

delay_parameters 1 -1/-1 8000/300000

#теперь об "избранных". Аналогично, как только попадается файл
#более 300К, то скорость падает до 40Кб/с и, далее, соответственно
#номеру пула 45, 46

delay_parameters 2 40000/300000
delay_parameters 3 45000/300000
delay_parameters 4 46000/300000

Ткните пальцем, пожалуйста, ну где здесь ошибка?

У меня, честно говоря вызывает большое подозрения конструкция (см. выше), в которой я сначала задаю пул 2-го класса для всей сети, а потом в него не пускаю "избранных" юзеров. Далее задаю пул 1-го класса для первого "избранного" и не пускаю в него всю сетку и остальных "избранных". Потом задаю следущий пул 1-го класса для для второго "избранного" и не пускаю в него всю сетку и остальных "избранных". И т.д. Так можно делать? Точнее будет работать? Или можно проще?

Сейчас у меня в принципе подобная конструкция работает, но как работает, понять не могу. Сидит 40 злобных юзверей (которым я трафик зарезал)и не менее злобное начальство (которому приходится платить деньги за превышение лимита по трафику). В любом случае у всех всё хреново и плохо. Поэтому оценка работы сквида в данной ситуации невозможна. Пытаюсь предположить теоретически, как происходит "нарезка" канала.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от ipmanyak Искать по авторуВ закладки(ok) on 11-Июн-04, 06:49  (MSK)
попробуй сменить порядок пулов , пул класса 2 сделай последним - четвертым,
какой ширины у тебя канал ? 300кб/cек?  в принципе часть канала нужно оставить для других нужд - DNS, SMTP и др, негоже отдавать его весь юзерам !
и давать по 40кб тоже барство, килов по 8-10 хватит на фаворитов каждому.
ты всем дал верхнюю планку в 300к вот они все и дерутся за нее!

попробуй этот конфиг, причем именно такой :

delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_class 4 2

delay_access 1 allow first_big_sosun
delay_access 1 deny all
delay_access 2 allow second_big_sosun
delay_access 2 deny all
delay_access 3 allow third_big_sosun
delay_access 3 deny all
delay_access 4 allow all_users_in_local_net
delay_access 4 deny all

delay_parameters 1 40000/40000
delay_parameters 2 45000/45000
delay_parameters 3 46000/46000
delay_parameters 4 140000/140000 8000/140000
что мы имеем? 140 на простых юзеров и в сумме 40+45+46=131 на боссов
30к на DNS, SMTP и так далее
проверь такой конфиг - скажешь результат

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Снова ACL, как оптимальнее описать ограничения?"
Сообщение от panel emailИскать по авторуВ закладки(??) on 11-Июн-04, 11:53  (MSK)
Добрый день!

На моё счастье (или беду) канал у меня слишком хороший - заявлено 100М (оптику протащили до провайдера). На самом деле в пике где-то около 3М (пока я не начал с delay_pool баловаться), если mrtg не врёт.

Ниже я привёл выдержку из моего кфг сквида (sorry, немного большая).

Пул второго класса поставил, как вы рекомендовали, в конец.
Вроде была ещё ошибка, строка "delay_access N deny all" стояла второй в списке для каждого пула. Сейчас её переставил в конец.

Честно говоря, я совсем запутался, как трактовать значения в "delay_parameters"? Если 8000/16000, то это значит что max скорость закачки 16Кб/с, min - 8Кб/с, или если юзер захочет утащить файл размером более 16Кб, то ему скорость урежется до 8Кб/с, а так - без ограничений ? Мне главное, чтоб все без проблем ходили по web, а избранные могли без проблем утаскивать файлы до 100Мб. Буду благодарен, если подскажите, как в моём случае это лучше описать.

-----squid.conf-----

acl mynet src 192.168.1.0/24
acl all src 0.0.0.0/0.0.0.0
acl sosun_numa src 192.168.1.10/255.255.255.255
acl sosun_valery src 192.168.1.11/255.255.255.255
acl sosun_simon src 192.168.1.12/255.255.255.255
acl sosun_anton src 192.168.1.13/255.255.255.255
acl sosun_chuch src 192.168.1.14/255.255.255.255
acl sosun_tech src 192.168.1.20/255.255.255.255
acl sosun_vasily src 192.168.1.37/255.255.255.255
acl sosun_studio-fm src 192.168.1.36/255.255.255.255
acl sosun_museditor src 192.168.1.45/255.255.255.255
#
delay_pools 10
#
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_class 4 1
delay_class 5 1
delay_class 6 1
delay_class 7 1
delay_class 8 1
delay_class 9 1
delay_class 10 2
#
delay_access 1 allow sosun_numa
delay_access 1 deny sosun_valery
delay_access 1 deny sosun_simon
delay_access 1 deny sosun_anton
delay_access 1 deny sosun_chuch
delay_access 1 deny sosun_tech
delay_access 1 deny sosun_vasily
delay_access 1 deny sosun_studio-fm
delay_access 1 deny sosun_museditor
delay_access 1 deny mynet
delay_access 1 deny all
#
delay_access 2 allow sosun_valery
delay_access 2 deny sosun_numa
delay_access 2 deny sosun_simon
delay_access 2 deny sosun_anton
delay_access 2 deny sosun_chuch
delay_access 2 deny sosun_tech
delay_access 2 deny sosun_vasily
delay_access 2 deny sosun_studio-fm
delay_access 2 deny sosun_museditor
delay_access 2 deny mynet
delay_access 2 deny all
#
delay_access 3 allow sosun_simon
delay_access 3 deny sosun_numa
delay_access 3 deny sosun_valery
delay_access 3 deny sosun_anton
delay_access 3 deny sosun_chuch
delay_access 3 deny sosun_tech
delay_access 3 deny sosun_vasily
delay_access 3 deny sosun_studio-fm
delay_access 3 deny sosun_museditor
delay_access 3 deny mynet
delay_access 3 deny all
#
delay_access 4 allow sosun_anton
delay_access 4 deny sosun_numa
delay_access 4 deny sosun_valery
delay_access 4 deny sosun_simon
delay_access 4 deny sosun_chuch
delay_access 4 deny sosun_tech
delay_access 4 deny sosun_vasily
delay_access 4 deny sosun_studio-fm
delay_access 4 deny sosun_museditor
delay_access 4 deny mynet
delay_access 4 deny all
#
delay_access 5 allow sosun_chuch
delay_access 5 deny sosun_numa
delay_access 5 deny sosun_valery
delay_access 5 deny sosun_simon
delay_access 5 deny sosun_anton
delay_access 5 deny sosun_tech
delay_access 5 deny sosun_vasily
delay_access 5 deny sosun_studio-fm
delay_access 5 deny sosun_museditor
delay_access 5 deny mynet
delay_access 5 deny all
#
delay_access 6 allow sosun_tech
delay_access 6 deny sosun_numa
delay_access 6 deny sosun_valery
delay_access 6 deny sosun_simon
delay_access 6 deny sosun_anton
delay_access 6 deny sosun_chuch
delay_access 6 deny sosun_vasily
delay_access 6 deny sosun_studio-fm
delay_access 6 deny sosun_museditor
delay_access 6 deny mynet
delay_access 6 deny all
#
delay_access 7 allow sosun_vasily
delay_access 7 deny sosun_numa
delay_access 7 deny sosun_valery
delay_access 7 deny sosun_simon
delay_access 7 deny sosun_anton
delay_access 7 deny sosun_tech
delay_access 7 deny sosun_chuch
delay_access 7 deny sosun_studio-fm
delay_access 7 deny sosun_museditor
delay_access 7 deny mynet
delay_access 7 deny all
#
delay_access 8 allow sosun_studio-fm
delay_access 8 deny sosun_numa
delay_access 8 deny sosun_valery
delay_access 8 deny sosun_simon
delay_access 8 deny sosun_anton
delay_access 8 deny sosun_tech
delay_access 8 deny sosun_chuch
delay_access 8 deny sosun_vasily
delay_access 8 deny sosun_museditor
delay_access 8 deny mynet
delay_access 8 deny all
#
delay_access 9 allow sosun_museditor
delay_access 9 deny sosun_numa
delay_access 9 deny sosun_valery
delay_access 9 deny sosun_simon
delay_access 9 deny sosun_anton
delay_access 9 deny sosun_tech
delay_access 9 deny sosun_chuch
delay_access 9 deny sosun_vasily
delay_access 9 deny sosun_studio-fm
delay_access 9 deny mynet
delay_access 9 deny all
#
delay_access 10 allow mynet
delay_access 10 deny sosun_numa
delay_access 10 deny sosun_valery
delay_access 10 deny sosun_simon
delay_access 10 deny sosun_anton
delay_access 10 deny sosun_tech
delay_access 10 deny sosun_chuch
delay_access 10 deny sosun_vasily
delay_access 10 deny sosun_studio-fm
delay_access 10 deny sosun_museditor
delay_access 10 deny all
#
delay_parameters 1 5000/300000
delay_parameters 2 50000/500000
delay_parameters 3 50000/500000
delay_parameters 4 8000/300000
delay_parameters 5 50000/500000
delay_parameters 6 -1/-1
delay_parameters 7 5000/300000
delay_parameters 8 5000/300000
delay_parameters 9 100000/300000
delay_parameters 10 1000000/1000000 8000/300000

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Squid"
Сообщение от Akmal Искать по авторуВ закладки on 11-Июн-04, 12:32  (MSK)
Я еще начинающий пользователь. На сервере интернет есть а в сети другие не могут пользоваться им. помогите настроить
Не знаю как запустить squid. набирал в командной строке а там
-----------
FATAL: Could not determine fully qualified hostname.  Please set 'visible_hostname'

Squid Cache (Version 2.5.STABLE1): Terminated abnormally.
CPU Usage: 0.030 seconds = 0.010 user + 0.020 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 403
Aborted
--------
заранее спасибо
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру