Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» SQUID: ограничить трафик для отдельного юзера: ширина канала

Автор: genultrovich
Дата сообщения: 17.04.2008 07:46
Уважаемые эксперты помогите, пожалуйста!!!
Нужно ограничить пользователя по трафику. Т.е. выделить ему N-ый размер трафика на месяц, чтоб по истечению этого трафика squid его в инет не пускал!

Заранее извиняюсь если вопрос совсем смешной но,
Не может ли параметр:

delay_parametrs pool aggregate

быть тем самым ограничением?
Если нет, то подскажите, для чего он используется?
Автор: WinTester
Дата сообщения: 17.04.2008 10:35
Squid не умеет ограничивать по трафику и даже просто считать его. Это не работа прокси сервера. Пиши логи и по далее другими програмами считай и ограничивай.
Автор: genultrovich
Дата сообщения: 17.04.2008 11:37
Хорошо тогда такой вопрос:

Как для одного пользователя запретить скачивание файлов типа: mp3, iso, и т.д.

Например записи в squid'е:

acl user_iso urlpath_regex -i \.iso$ \.mp3$ \.avi$ \.mpeg$ \.mov$ \.vob$ \.exe$ \.wma$ \.wmv$ \.ram$ \.rm$ \.rv$ \.wm$ \.wav$ \.ra$

delay_pools 1
delay_class 1 2
delay_access 1 allow user
delay_access 1 allow user_iso
delay_access 1 deny all

delay_parameters 1 64000/64000 800/10000

дают такой эффект:
1) Выше перечисленные файлы типа mp3 и т.д. - всё равно качаются хоть и с маленькой скоростью, чего мне совсем не надо!
2) Такая скорость закачки у всех юзверей, хотя я так понимаю должна быть только у одного, который собственно и записан в delay_access!!!

почему так происходит?
Подскажите пожалуйста!!!
Автор: ipmanyak
Дата сообщения: 17.04.2008 15:16
genultrovich genultrovich
Цитата:
Как для одного пользователя запретить скачивание файлов типа: mp3, iso, и т.д.

acl user_iso urlpath_regex -i \.iso$ \.mp3$ \.avi$ \.mpeg$ \.mov$ \.vob$ \.exe$ \.wma$ \.wmv$ \.ram$ \.rm$ \.rv$ \.wm$ \.wav$ \.ra$
http_access deny user_iso user
Правило должно стоять выше правила
http_access allow user
а где аксель user? что в нем указано ?
Автор: genultrovich
Дата сообщения: 18.04.2008 06:52
Все записи о этом юзере выглядят так:

acl psw_user proxy_auth user
acl user src xxx.yyy.z.aaa/255.255.255.255
acl pr_user url_regex src "/etc/xxx/xxx/pr_user"
http_access allow user timework psw_user pr_user(список сайтов куда он может ходить)

и дальше, выше приведённые delay.

А с записью
http_access allow user_iso user
я был не прав
Этим правилом я наоборот дал им доступ к забаненым файлам, так?
Автор: ipmanyak
Дата сообщения: 18.04.2008 07:47
genultrovich
Цитата:
http_access allow user timework psw_user pr_user(список сайтов куда он может ходить)

psw_user тут ник чему!

Цитата:
acl pr_user url_regex src "/etc/xxx/xxx/pr_user"

src здесь просто бред.

Цитата:
Этим правилом я наоборот дал им доступ к забаненым файлам, так?

да



Автор: genultrovich
Дата сообщения: 18.04.2008 08:11

Цитата:
acl pr_user url_regex src "/etc/xxx/xxx/pr_user"

src здесь просто бред.


Почему бред? это путь к файлу где лежит список сайтов куда пользователь может ходить! И это работает!

Со скоростями получилось, со скоростью открытия сайта! Скорость соответствует требованию, и все сайты кроме прописаных в pr_user не доступны!
Но, mp3 этот пользователь качает с такойже скоростью что и не ограниченные пользователи, хотя не должен качать впринцепе!
Автор: ipmanyak
Дата сообщения: 18.04.2008 11:20
genultrovich Смотрим шаблон:
# acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL
Где ты тут увидел опцию SRC ?

Цитата:
хотя не должен качать впринцепе!

Значит правила не работают, а точнее не верен порядок или вообще неправильно написаны. Включай debug в конфиге сквида на уровень 9 и смотри cache_log
Автор: genultrovich
Дата сообщения: 18.04.2008 12:03
С первым согласен, src там и близко нет! Но как не странно всё работает и с SRC!
Сквид настраивали до меня, и всё это время он с этим параметром исправно работал!

А насчет правил, да действительно порядок был не верный.
Исправил по Вашей рекомендации, и всё заработало как надо!
Большое человеческое спасибо!

Возник такой ещё вопрос:
Если в строке

http_access deny user_iso user

добавить имя ещё одного пользователя, этот запрет будет работать для вновь добавленного?
или нужно эту строку дописывать перед каждым пользователем отдельно?
Автор: ipmanyak
Дата сообщения: 18.04.2008 14:56
genultrovich

Цитата:
добавить имя ещё одного пользователя, этот запрет будет работать для вновь добавленного?

Squid использует логику AND (И) по правилам и логику OR(ИЛИ) по элементам.
Тут уже сам думай что и как. Почитай тут там хорошо это дело расписано:
http://www.nestor.minsk.by/sr/2004/02/40214.html
В твоем случае ответ - нет. Правило просто никогда не будет выполняться. Второго юзера нужно добавить в аксель USER.


Автор: Funtik_Vintik
Дата сообщения: 25.06.2008 21:29
Требуется ограничение трафика по юзерам (на каждого разный) в месяц. (юзеров не много).
Желательно веб-морда чтоб не только я мог графики видеть, но и юзеры сколько они накачали.

Как я понял надо или SAMS или NeTAMS.
SAMS пока v1.0, но выглядит мне более подходящим (аля винда UI ). Как у него со стабильностью ?

Еще я хотел SquidGuard прикрутить.
Возможно слияние Squid+SAMS+SquidGuard+ClamAV ?
Автор: Ruza
Дата сообщения: 25.06.2008 22:25

Цитата:
Squid+SAMS+SquidGuard+ClamAV

Хм... Первые 3 будут работать без проблем при правильной настройке.
А вот ClamAV тут не вяжется... без ICAP'а либо SquidClam'a/Viralator/etc.
Автор: Sasha_Nahayko
Дата сообщения: 26.06.2008 18:01
Добрый день, уважаемые!
Есть задача -- ограничивать определённым людям скорость с определёнными ресурсами. К примеру всем, кроме админов, тормознуть однокласников и медиа-файлы.
Делаю простейший delay_access:

acl media url_regex "/etc/squid/nomedia"
delay_class 1 1
delay_access 1 allow media
delay_access 1 deny all
delay_parameters 1 100/100

и всё-равно mp3 качается на высокой скорости.
Что не так?
Version 2.5.STABLE6
Пост от ipmanyak уже прочитал.
Здесь http://www.opennet.ru/base/net/squid_inst.txt.html аналогичный пример читал.
Целый день курю этот и другие форумы, пробую и так и этак, ничего не могу понять.
Подскажите.
Автор: Sasha Nahayko
Дата сообщения: 01.07.2008 10:23
Сам себе и отвечаю -- всё заработало на следующий день само.
Видно звёзды неудачно стояли.
Сейчас работает так (в порядке обмена опытом):


acl admins_pc src 192.168.1.6-192.168.1.7
acl piktime time MTWHF 8:30-17:30
acl media url_regex "/etc/squid/nomedia"
acl tormoz url_regex "/etc/squid/tormoz"

delay_pools 1
delay_class 1 1

# зачем себя в чём-то ограничивать
delay_access 1 deny admins_pc

# ограничения не работают в нерабочее время
delay_access 1 deny !piktime

# прижмём любителей качать музычку и видео
delay_access 1 allow media

# всякие однокласники и ютубы
delay_access 1 allow tormoz

delay_access 1 deny all
delay_parameters 1 2000/10000
Автор: slaj1
Дата сообщения: 29.09.2008 14:23
доброго времени суток

в качестве шлюза использую squid/debian

вопрос:
знает ли кто-то как посмотреть нагрузку на канал с делением по юзверам/ip в реальном режиме времени ?
Автор: mrmarvin
Дата сообщения: 16.12.2008 10:39
вот читаю читаю вроде понимаю а вот сам свой конфиг не могу сделать...
помогите кто знает, вот хочу что бы было 2 группы

1. скорость на всю группу 256кб каждому из группы скорость не больше 80кб и качает первые 100кБ на максимальной скорости.

2. скорость 128кб и все в группе делят ее между собой.
Автор: NiTr0
Дата сообщения: 29.12.2008 22:19
Насколько я понял из экспериментов, squid не режет траффик, исходящий от пользователя (во всяком случае наличие активно раздающего торрент-клиента гарантирует засирание всего доступного исходящего канала, не смотря на любые ограничения).
Так ли это?
Как оболочка для управления юзверями юзался самс 1.0.1, сквид версии 2.6
Автор: Ruza
Дата сообщения: 30.12.2008 17:01
slaj1
http://samm.kiev.ua/sqstat/
NiTr0
А ты уверен что торрент через squid пакеты отсылает?
Автор: ShurGent
Дата сообщения: 28.04.2009 13:14
Добрый день, Уважаемые эксперты.
У меня следующий вопрос по сквиду.
Если стоит ограничение на конкретный IP-адрес, то сквид будет ограничивать весь трафик к этому компу или ограничивать только один поток.
Т.е. если, например, стоит ограничение на IP адрес в 16000 и юзер будет качать большой файл в 4 потока, то он будет качать его со скоростью 16000 или выгребет под себя 64000?

И еще... Например есть группа, которой отдано половина канала (64000) и отдельно компьютерам отдано по 32000. Первые 256000 скачиваются на полной скорости:

acl MyGroup src 192.168.0.50-192.168.0.100
...
delay_class 1 2
delay_parameters 1 64000/256000 32000/256000
delay_access 1 allow MyGroup
delay_access 1 deny all

Если 1-2 пользователя будут качать большие файлы - тут все ясно, они заберут каждый по 32000 и в сумме займут 64000. Но если их будет 4, что произойдет в этом случае? Нагрузка распределится равномерно и каждый получит в среднем по 16000 или двое будут качать со скоростью 32000, а другие два получать ошибки?
Для меня этот момент очень важен.

Заранее спасибо.
Автор: Ruza
Дата сообщения: 28.04.2009 18:15
ShurGent

Цитата:
Если стоит ограничение на конкретный IP-адрес


Цитата:
ли ограничивать только один поток.

Ты вроде как себе сам противоречишь, не?
Вот тут подробнее.
Автор: ostap_lvov
Дата сообщения: 30.04.2009 14:35
Добрый день уважаемые експерты!

у меня есть одна задача.. как настроить именно такую схему
есть ир 192,168,*,8 должен имень доступ к все сайтам кроме (например www.orera1.com)
ир 192,168,*,9 должен имень доступ к все сайтам кроме (например www.orera.com)
*.8 скорость 128к
*.9 скорость 256к
вот то что я делал.. и в результате после моих не очень компетентных действий прокся не работает вообще.
_________________________________
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl internet_users src 192.168.*.25
acl internet_users src 192.168.*.15
acl internet_users src 192.168.*.49
acl internet_users src 192.168.*.14
acl internet_users src 192.168.*.17
acl internet_users src 192.168.*.18
acl internet_users src 192.168.*.8
acl internet_users src 192.168.*.9
acl internet_users src 192.168.*.10
acl internet_users src 192.168.*.11
acl internet_users src 192.168.*.12
acl internet_users src 192.168.*.31
acl internet_users src 192.168.*.23
acl internet_users src 192.168.*.24
acl internet_users src 192.168.*.26
acl internet_users src 192.168.*.27
acl internet_users src 192.168.*.28
acl internet_users src 192.168.*.29
acl internet_users src 192.168.*.30
acl internet_users src 192.168.*.32
acl internet_users src *.*.*.*

acl denied_sites dstdomain .orera.com .orera1.ru
acl denied_comp src 192.168.*.8 192.168.*.9
http_access deny denied_sites denied_comp

acl intranet dst *.*.0.0/15
acl intranet dst *.*.0.0/16

acl internal src 192.168.*.0/24
acl internal src *.*.0.0/16
acl internal src *.*.0.0/16
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 8443
acl SSL_ports port 443
acl Safe_ports port 80# http
acl Safe_ports port 21# ftp
acl Safe_ports port 443# https
acl Safe_ports port 70# gopher
acl Safe_ports port 210# wais
acl Safe_ports port 1025-65535# unregistered ports
acl Safe_ports port 280# http-mgmt
acl Safe_ports port 488# gss-http
acl Safe_ports port 591# filemaker
acl Safe_ports port 777# multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow internal intranet
http_access allow internet_users
http_access allow localhost


http_access deny all
___________________
что и как именно написать чтобы работало
need Your HELP!

Спасибо!!
Автор: ipmanyak
Дата сообщения: 30.04.2009 16:08
ostap_lvov звездочки это типа номер локальной сети спрятал? Или что?
Она нафиг никому не нужна. будем считать, что твоя сеть 192.168.0.x

Цитата:
acl denied_sites dstdomain .orera.com .orera1.ru
acl denied_comp src 192.168.*.8 192.168.*.9
http_access deny denied_sites denied_comp
Ерунда!


acl all src 0.0.0.0/0.0.0.0
acl internet_user8 src 192.168.0.8
acl internet_user9 src 192.168.0.9
acl internet_user src 192.168.0.0/24

acl denied_opera dstdomain .orera.com
acl denied_opera1 dstdomain .orera1.com
http_access deny denied_opera internet_user8
http_access deny denied_opera1 internet_user9

delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_access 1 allow internet_user8
delay_access 1 deny all
delay_access 2 allow internet_user9
delay_access 2 deny all
delay_access 3 allow internet_user
delay_access 3 deny all

delay_parameters 1 16000/16000 16000/16000 # 128 кбит
delay_parameters 2 32000/32000 32000/32000 # 256 кбит
delay_parameters 3 всем остальным на твое усмотрение #

Автор: DemonWather
Дата сообщения: 02.05.2009 22:10
Подскажите как без ручной сборки обновить версию сквида до версии с поддержками пулов задержки. По умолчанию поставил с секьюрити.debian командой

apt-get install squid3

Встала версия 3.0.PRE5

Проверил как был собран сквид

squid -v > ./configure.txt

Squid Cache: Version 3.0.PRE5
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '
--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-mai
ntainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir
=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,coss' '--en
able-diskio=AIO,Blocking,DiskDaemon,DiskThreads' '--enable-removal-policies=lru,heap' '--enable-poll' '--enable-digest-pools' '--enable-snmp' '--enable-htcp' '--enable-select' '--enable-carp' '--enable-large-files' '--enable-underscores' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--with-filedescriptors=4096' '--enable-epoll' '--enable-linux-netfilter' 'CC=cc' 'CFLAGS=-g -Wall -O2' 'CPPFLAGS=' 'CXXFLAGS=-g -Wall -O2' 'CXX=g++' 'LDFLAGS=' 'build_alias=i486-linux-gnu'

Как видно --enable-delay-pools тут нету, вот и на опции delay_pools пишет "неопознанная опция".

Как быстрее всего "включить" этот чудный инструмент?

Платформа Debian Etch, ядро 2.6.18
Автор: Ruza
Дата сообщения: 03.05.2009 01:16
DemonWather

Цитата:
Как быстрее всего "включить" этот чудный инструмент?

Собрать самому из исходников с теми же параметрами что и в configure.txt + --enable-delay-pools.
Ну и добавить ещё что надо на будущее, по желанию [more=на выбор]`configure' configures Squid Web Proxy 3.0.STABLE14 to adapt to many kinds of systems.

Usage: ./configure [OPTION]... [VAR=VALUE]...

To assign environment variables (e.g., CC, CFLAGS...), specify them as
VAR=VALUE. See below for descriptions of some of the useful variables.

Defaults for the options are specified in brackets.

Configuration:
-h, --help display this help and exit
--help=short display options specific to this package
--help=recursive display the short help of all the included packages
-V, --version display version information and exit
-q, --quiet, --silent do not print `checking...' messages
--cache-file=FILE cache test results in FILE [disabled]
-C, --config-cache alias for `--cache-file=config.cache'
-n, --no-create do not create output files
--srcdir=DIR find the sources in DIR [configure dir or `..']

Installation directories:
--prefix=PREFIX install architecture-independent files in PREFIX
[/usr/local/squid]
--exec-prefix=EPREFIX install architecture-dependent files in EPREFIX
[PREFIX]

By default, `make install' will install all the files in
`/usr/local/squid/bin', `/usr/local/squid/lib' etc. You can specify
an installation prefix other than `/usr/local/squid' using `--prefix',
for instance `--prefix=$HOME'.

For better control, use the options below.

Fine tuning of the installation directories:
--bindir=DIR user executables [EPREFIX/bin]
--sbindir=DIR system admin executables [EPREFIX/sbin]
--libexecdir=DIR program executables [EPREFIX/libexec]
--sysconfdir=DIR read-only single-machine data [PREFIX/etc]
--sharedstatedir=DIR modifiable architecture-independent data [PREFIX/com]
--localstatedir=DIR modifiable single-machine data [PREFIX/var]
--libdir=DIR object code libraries [EPREFIX/lib]
--includedir=DIR C header files [PREFIX/include]
--oldincludedir=DIR C header files for non-gcc [/usr/include]
--datarootdir=DIR read-only arch.-independent data root [PREFIX/share]
--datadir=DIR read-only architecture-independent data [DATAROOTDIR]
--infodir=DIR info documentation [DATAROOTDIR/info]
--localedir=DIR locale-dependent data [DATAROOTDIR/locale]
--mandir=DIR man documentation [DATAROOTDIR/man]
--docdir=DIR documentation root [DATAROOTDIR/doc/squid]
--htmldir=DIR html documentation [DOCDIR]
--dvidir=DIR dvi documentation [DOCDIR]
--pdfdir=DIR pdf documentation [DOCDIR]
--psdir=DIR ps documentation [DOCDIR]

Program names:
--program-prefix=PREFIX prepend PREFIX to installed program names
--program-suffix=SUFFIX append SUFFIX to installed program names
--program-transform-name=PROGRAM run sed PROGRAM on installed program names

System types:
--build=BUILD configure for building on BUILD [guessed]
--host=HOST cross-compile to build programs to run on HOST [BUILD]

Optional Features:
--disable-option-checking ignore unrecognized --enable/--with options
--disable-FEATURE do not include FEATURE (same as --enable-FEATURE=no)
--enable-FEATURE[=ARG] include FEATURE [ARG=yes]
--enable-maintainer-mode enable make rules and dependencies not useful
             (and sometimes confusing) to the casual installer
--disable-dependency-tracking speeds up one-time build
--enable-dependency-tracking do not reject slow dependency extractors
--enable-shared[=PKGS] build shared libraries [default=no]
--enable-static[=PKGS] build static libraries [default=yes]
--enable-fast-install[=PKGS]
optimize for fast installation [default=yes]
--disable-libtool-lock avoid locking (might break parallel builds)
--enable-gnuregex Compile GNUregex. Unless you have reason to use this
option, you should not enable it. This library file
is usually only required on Windows and very old
Unix boxes which do not have their own regex library
built in.
--disable-optimizations Don't compile Squid with compiler optimizations enabled.
Optimization is good for production builds, but not
good for debugging. During development, use
--disable-optimizations to reduce compilation times
and allow easier debugging. This option implicitly
also enabled --disable-inline
--disable-inline Don't compile trivial methods as inline. Squid
is coded with much of the code able to be inlined.
Inlining is good for production builds, but not
good for development. During development, use
--disable-inline to reduce compilation times and
allow incremental builds to be quick. For
production builds, or load tests, use
--enable-inline to have squid make all trivial
methods inlinable by the compiler.
--enable-debug-cbdata Provide some debug information in cbdata
--enable-xmalloc-statistics
Show malloc statistics in status page
--disable-carp Disable CARP support
--enable-async-io=N_THREADS
Shorthand for
--with-aufs-threads=N_THREADS
--with-pthreads
--enable-storeio=ufs,aufs
--enable-storeio=\"list of modules\"
Build support for the list of store I/O modules.
The default is only to build the "ufs" module.
See src/fs for a list of available modules, or
Programmers Guide section <not yet written>
for details on how to build your custom store module
--enable-disk-io=\"list of modules\"
Build support for the list of disk I/O modules.
The default is only to build the "Blocking" module.
See src/DiskIO for a list of available modules, or
Programmers Guide section <not yet written>
for details on how to build your custom disk module
--enable-removal-policies=\"list of policies\"
Build support for the list of removal policies.
The default is only to build the "lru" module.
See src/repl for a list of available modules, or
Programmers Guide section 9.9 for details on how
             to build your custom policy
--enable-icmp Enable ICMP pinging
--enable-delay-pools Enable delay pools to limit bandwidth usage
--enable-esi Enable ESI for accelerators. Requires libexpat.
Enabling ESI will cause squid to follow the Edge
Acceleration Specification (www.esi.org). This
causes squid to IGNORE client Cache-Control headers.
DO NOT use this in a squid configured as a web
proxy, ONLY use it in a squid configured for
webserver acceleration.
--enable-icap-client Enable the ICAP client.
--enable-useragent-log Enable logging of User-Agent header
--enable-referer-log Enable logging of Referer header
--disable-wccp Disable Web Cache Coordination Protocol
--disable-wccpv2 Disable Web Cache Coordination V2 Protocol
--enable-kill-parent-hack
Kill parent on shutdown
--disable-snmp Disable SNMP monitoring support
--enable-cachemgr-hostname=hostname
Make cachemgr.cgi default to this host
--enable-arp-acl Enable use of ARP ACL lists (ether address)
--disable-htcp Disable HTCP protocol support
--enable-ssl Enable ssl gatewaying support using OpenSSL
--enable-forw-via-db Enable Forw/Via database
--enable-cache-digests Use Cache Digests
see http://wiki.squid-cache.org/SquidFaq/CacheDigests
--enable-default-err-language=lang
Select default language for Error pages (see
errors directory)
--enable-err-languages=\"lang1 lang2..\"
Select languages to be installed. (All will be
installed by default)
--disable-poll Disable poll() support.
--disable-select Disable select() support.
--enable-kqueue Enable kqueue() support (experimental).
--disable-epoll Disable Linux epoll() support.
--disable-http-violations
This allows you to remove code which is known to
violate the HTTP protocol specification.
--enable-ipfw-transparent
Enable Transparent Proxy support for systems
using FreeBSD IPFW style redirection.
--enable-ipf-transparent
Enable Transparent Proxy support for systems
using IP-Filter network address redirection.
--enable-pf-transparent
Enable Transparent Proxy support for systems
using PF network address redirection.
--enable-linux-netfilter
Enable Transparent Proxy support for Linux (Netfilter) systems.
--enable-linux-tproxy
             Enable real Transparent Proxy support for Netfilter TPROXY.
--enable-leakfinder
Enable Leak Finding code. Enabling this alone
does nothing; you also have to modify the source
             code to use the leak finding functions. Probably
             Useful for hackers only.
--disable-ident-lookups
This allows you to remove code that performs
Ident (RFC 931) lookups.
--disable-internal-dns This prevents Squid from directly sending and
receiving DNS messages, and instead enables the
old external 'dnsserver' processes.
--enable-default-hostsfile=path
Select default location for hosts file.
See hosts_file directive in squid.conf for details
--enable-auth=\"list of auth scheme modules\"
Build support for the list of authentication schemes.
The default is to build support for the Basic scheme.
See src/auth for a list of available modules, or
Programmers Guide section authentication schemes
for details on how to build your custom auth scheme
module
--enable-basic-auth-helpers=\"list of helpers\"
This option selects which basic scheme proxy_auth
helpers to build and install as part of the normal
build process. For a list of available
helpers see the helpers/basic_auth directory.
--enable-ntlm-auth-helpers=\"list of helpers\"
This option selects which proxy_auth ntlm helpers
to build and install as part of the normal build
process. For a list of available helpers see
the helpers/ntlm_auth directory.
--enable-negotiate-auth-helpers=\"list of helpers\"
This option selects which proxy_auth negotiate helpers
to build and install as part of the normal build
process. For a list of available helpers see
the helpers/negotiate_auth directory.
--enable-digest-auth-helpers=\"list of helpers\"
This option selects which digest scheme authentication
helpers to build and install as part of the normal build
process. For a list of available helpers see the
helpers/digest_auth directory.
--enable-ntlm-fail-open Enable NTLM fail open, where a helper that fails one of the
Authentication steps can allow squid to still authenticate
the user.
--enable-external-acl-helpers=\"list of helpers\"
This option selects which external_acl helpers to
build and install as part of the normal build
process. For a list of available helpers see the
helpers/external_acl directory.
--disable-mempools Disable memPools. Note that this option now simply sets the
             default behaviour. Specific classes can override this at runtime, and
             only lib/MemPool.c needs to be altered to change the squid-wide
             default for all classes.
--enable-win32-service Compile Squid as a WIN32 Service
Works only on Windows NT and Windows 2000 Platforms.
--disable-unlinkd Do not use unlinkd
--enable-stacktraces Enable automatic call backtrace on fatal errors
--enable-cpu-profiling
This option allows you to see which internal functions
in Squid are consuming how much CPU. Compiles in probes
that measure time spent in probed functions. Needs
source modifications to add new probes. This is meant
for developers to assist in performance optimisations
of Squid internal functions.
If you are not developer and not interested in the stats
you shouldn't enable this, as overhead added, although
small, is still overhead. See lib/Profiler.c for more.

--enable-x-accelerator-vary
Enable support for the X-Accelerator-Vary
HTTP header. Can be used to indicate
variance within an accelerator setup.
Typically used together with other code
that adds custom HTTP headers to the requests.

Optional Packages:
--with-PACKAGE[=ARG] use PACKAGE [ARG=yes]
--without-PACKAGE do not use PACKAGE (same as --with-PACKAGE=no)
--with-gnu-ld assume the C compiler uses GNU ld [default=no]
--with-pic try to use only PIC/non-PIC objects [default=use
both]
--with-tags[=TAGS] include additional configurations [automatic]
--with-default-user=USER System user account for squid permissions.
default: nobody
--with-aufs-threads=N_THREADS
Tune the number of worker threads for the aufs object
store.
--with-pthreads Use POSIX Threads
--with-aio Use POSIX AIO
--with-dl Use dynamic linking
--with-openssl=prefix
Compile with the OpenSSL libraries. The path to
             the OpenSSL development libraries and headers
             installation can be specified if outside of the
             system standard directories
--with-coss-membuf-size COSS membuf size (default 1048576 bytes)
--with-large-files Enable support for large files (logs etc).
--with-build-environment=model
The build environment to use. Normally one of
POSIX_V6_ILP32_OFF32 32 bits
POSIX_V6_ILP32_OFFBIG 32 bits with large file support
POSIX_V6_LP64_OFF64 64 bits
POSIX_V6_LPBIG_OFFBIG large pointers and files
XBS5_ILP32_OFF32 32 bits (legacy)
XBS5_ILP32_OFFBIG 32 bits with large file support (legacy)
XBS5_LP64_OFF64 64 bits (legacy)
XBS5_LPBIG_OFFBIG large pointers and files (legacy)
default The default for your OS
--with-valgrind-debug Include debug instrumentation for use with valgrind
--with-filedescriptors=NUMBER
Force squid to support NUMBER filedescriptors
--with-cppunit-basedir=/path/to/cppunit-base
Path where the cppunit headers are libraries are found
             for unit testing.


Some influential environment variables:
CC C compiler command
CFLAGS C compiler flags
LDFLAGS linker flags, e.g. -L<lib dir> if you have libraries in a
nonstandard directory <lib dir>
LIBS libraries to pass to the linker, e.g. -l<library>
CPPFLAGS C/C++/Objective C preprocessor flags, e.g. -I<include dir> if
you have headers in a nonstandard directory <include dir>
CXX C++ compiler command
CXXFLAGS C++ compiler flags
CPP C preprocessor
CXXCPP C++ preprocessor
F77 Fortran 77 compiler command
FFLAGS Fortran 77 compiler flags

Use these variables to override the choices made by `configure' or to help
it to find libraries and programs with nonstandard names/locations.

Report bugs to <http://www.squid-cache.org/bugs/>.[/more]
Автор: DemonWather
Дата сообщения: 11.05.2009 23:31
Пересобрал... до последней версии squid-3.0.STABLE15-20090511

Пришлось вырезать из конфига '--enable-storeio=coss' '--enable-basic-auth-helpers=LDAP,SASL' '--enable-digest-auth-helpers=ldap' '--enable-external-acl-helpers=ldap_group,session'

с этим не сопирабось... понимою, что можно было бы поставить dev SASL, LDAP. Разобраться с файловой системой coss и прочее...

Но я пересобирал только ради --enable-delay-pools

- После установки не нашлось стартового скрипта - выдернул из предыдущей версии.
- скомпиленый файл сквида весит 10 МБ вместо 1,3 МБ того, что становился по умолчанию
- опция delay_parameters требует задания как минимум 3 параметров, т.е.

delay_parameters 1 10000/10000 - не проходит
delay_parameters 1 -1/-1 10000/10000 - проходит

Есть у кого скомпиленый deb пакет для платформы ETCH с поддержкой delay-pools?
Автор: ostap_lvov
Дата сообщения: 14.07.2009 16:46
Всем привет..
помогите а то начальство казнит
есть опять два вопроса.
1 как правильно закрыть доступ для конкретного пользователя
2 как правильно уменьшить скорость для конкретного пользователя

конфиг

#Recommended minimum configuration:

acl bad url_regex "/etc/squid/blacklist"
acl all src 0.0.0.0/0.0.0.0
acl internet_users src 192.168.24.25
acl internet_users src 192.168.24.15
acl internet_users src 192.168.24.49
acl internet_users src 192.168.24.14
acl internet_users src 192.168.24.17
acl internet_users src 192.168.24.18
acl internet_users src 192.168.24.8
acl internet_users src 192.168.24.9

acl internet_users src 192.168.24.10
acl internet_users src 192.168.24.11
acl internet_users src 192.168.24.12
acl internet_users src 192.168.24.31
acl internet_users src 192.168.24.23
acl internet_users src 192.168.24.24
acl internet_users src 192.168.24.26
acl internet_users src 192.168.24.27
acl internet_users src 192.168.24.28
acl internet_users src 192.168.24.29
acl internet_users src 192.168.24.30
acl internet_users src 192.168.24.32



Автор: Ruza
Дата сообщения: 14.07.2009 19:09
ostap_lvov
Ого, а коменты убрать не судьба? Читать же не возможно...
Оставь только то что изменял... Если ничего. То просто напиши вопрос.
И главное, напиши как ты собрался пользователя банить по имени, отчеству, разрезу глаз или по национальному признаку?
Автор: ostap_lvov
Дата сообщения: 14.07.2009 20:29
сорри

в файле blacklist - список сайтов которые нужно закрыть (google.de)

всем останильным полный доступ.
ір 24.9 скорость 128кб
ір 24.8 скорость 256кб.

acl bad url_regex "/etc/squid/blacklist"
acl all src 0.0.0.0/0.0.0.0
acl internet_users src 192.168.24.25
acl internet_users src 192.168.24.15
acl internet_users src 192.168.24.49
acl internet_users src 192.168.24.14
acl internet_users src 192.168.24.17
acl internet_users src 192.168.24.18
acl internet_users src 192.168.24.8
acl internet_users src 192.168.24.9

acl internet_users src 192.168.24.10
acl internet_users src 192.168.24.11
acl internet_users src 192.168.24.12
acl internet_users src 192.168.24.31
acl internet_users src 192.168.24.23
acl internet_users src 192.168.24.24
acl internet_users src 192.168.24.26
acl internet_users src 192.168.24.27
acl internet_users src 192.168.24.28
acl internet_users src 192.168.24.29
acl internet_users src 192.168.24.30
acl internet_users src 192.168.24.32






acl internal src 192.168.24.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 8443
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny bad
http_access allow internal intranet
http_access allow internet_users
http_access allow localhost




Автор: Ruza
Дата сообщения: 14.07.2009 21:10
...........
acl nah1 src 192.168.24.8
acl nah2 src 192.168.24.9
..................
http_access allow bad !nah1 !nah2
http_access deny intranet !internal
http_access allow internet_users
http_access allow localhost
http_access deny all

delay_pools 3
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_parameters 1 128000/128000
delay_parameters 2 256000/256000
delay_parameters 3 -1/-1
delay_access 1 allow nah1
delay_access 1 deny all
delay_access 2 allow nah2
delay_access 2 deny all
delay_access 3 allow internet_users
delay_access 3 deny all

Автор: DemonWather
Дата сообщения: 15.09.2009 14:21
Подскажите пожалуйста как с помощью пула задержки ограничить скорость закачки файлов по их размерам (канал 1024Мб/с)

Вот хочется так как то:

ACL хитрое_правило_определяющее_файлы_>100МБ
...
delay_parameters N 64000/64000 32000/32000

Смысл в том, чтобы ограничить закачку файлов больших 100МБ изначально низкой скоростью... понимаю что можно поставить на весь канал фильтр по типу

delay_parameters N -1/-1 32000/10000000

но смысл в том чтобы с первых же байтов определить что фаил большой и подрезать качеру крылья!

Серфил серфил.... но ничего не нашел толком

Директива reply_body_max_size тут мне не поможет...

Страницы: 123456

Предыдущая тема: Коммутатор 3COM SuperStack Switch4300

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.