» SQUID: ограничить трафик для отдельного юзера: ширина канала

Я надеюсь мне здесь помогут.

дело в том что

Хочу ограничить в скорости закачки 8кб несколько компов в сети прописал вот это в squid.conf

acl staff src 192.168.0.43-192.168.0.65/32 - Значит с 43 по 65 IP ограничить хочу

Далее

delay_pools 2
delay_class 2 1
delay_access 2 allow staff
delay_access 2 deny all
delay_parameters 2 64000/64000 8000/8000

и
squid -k reconfigure

но ничего не изменилось
помогите, отпишите кому не лень пожалуйста...

Заранее спасибо

есть 50 юзеров....
айпихи вразнабой....
как ограничить челам(20-30) на стоко а остальным на столько.... и мне любимому неограничивать?
спс

также как и выше описано ! создай 2 акселя и 2 пула
acl iloveself src 192.168.1.1
acl others src "/usr/local/squid/etc/users"
в файле users ip адреса по одному в строке
скорости сам выставишь на каждый пул

Intakto

acl staff src 192.168.0.43-192.168.0.65/32 - это что за маска такая?

Может 192.168.0.43-192.168.0.65/24 ты имел в виду?

fractal

Цитата:

это что за маска такая

маска /32 эквивалентна 255.255.255.255, т.е. одному хосту

Intakto
Возможно не работает из-за того, что указаны два пула,

Цитата:

delay_pools 2

а из куска конфига складывается ощущение, что вписан только один.

Цитата:

delay_class 2 1
delay_access 2 allow staff
delay_access 2 deny all
delay_parameters 2 64000/64000 8000/8000

Второй вариант - вероятно при сборке не была указана опция --enable-delay-pools

Felix

Цитата:

а из куска конфига складывается ощущение, что вписан только один.

Точно, все исправил, все работает, спасибо огромное =)

ipmanyak
спс, сразу не увидел

есть еще 1на задачка, незнаю решима ли....
хотелось бы ограничить траффик по зарубежью и неограничивать по стране. Возможно ли это?

Вот читаю, и складывается такое ощущение, что я могу скорость зарезать только для адреса, а можно ли как-то зарезать скорость отдельному пользователю (все пользователи бездисковые, работают на терминале, соответственно у всех исходящий IP одинаковый)?

Gabzya да возможно ! ограничить имеешь ввиду зарубить ? если да то смотри список сетей по зонам первого уровня в cidr нотации и без здесь
расшифровка зон тут
сети нужной зоны разреши акселями, остальные запрети
список украинских сетей можно взять и здесь

Добавлено:
SSV_RA если прикручена аутентификация , то можно и по юзерам нарезать delay pool
типа
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow vasya
delay_access 1 deny all
delay_access 2 allow petya
delay_access 2 deny all
delay_parameters .....

ipmanyak
Да, аутентификация прикручена. Спасибо, попробую.

ipmanyak
большое спс

помогите пожалуйста
провайдер увеличил ширину канала до 5 мбит/сек, но скорость не выросла
полез в squid.conf
правильно ли я понял настройки на моем сквиде?
(
delay_access 1 allow CL_BOSS
delay_access 1 deny all
delay_access 2 allow CL_ADMINS
delay_access 2 deny all
delay_access 3 allow CLIENTS1
delay_access 3 allow CLIENTS2
delay_access 3 allow CLIENTS3
delay_access 3 allow CLIENTS4
delay_access 3 allow CLIENTS5
delay_access 3 deny all

delay_parameters 1 3000000/4000000 2560000/3000000
delay_parameters 2 300000/400000 256000/300000
delay_parameters 3 20000/32000 16000/20000)

значит ли это:
1) пул 1 грузит канал максимум на 4 мбайта/сек для файлов меньше 4мб, а для больших на 3 мбайта и при этом каждый отдельный пк входящий в пул получает не больше 2,56 или 3 соответственно?
2) или тут имеются ввиду не мегабайты в секунду, а мегабиты? вроде в примере (ttp://linuxnews.ru/docs/showdoc.php?id=4668&thread=4668) 64000 это 64 кбайта

3) если сложить 4000000+40000+32000 - то это и есть распределение ширины канала по группам?
4) если пул 1 и 2 не качают , то все кто сидит в пуле 3 все равно ограничены максимум 20 кбайтами?

Господа, а есть возможность менять ограничения по скорости ПО ВРЕМЕНИ?
Т.е., я хочу, чтобы юзерам, например, в первую половину дня была скорость пониже,
а во вторую - повыше. Как это сделать, возможно ли это вообще???

VLADIMIRIUS
ведь правильную документацию читал....

Цитата:

1) пул 1 грузит канал максимум на 4 мбайта/сек для файлов меньше 4мб, а для больших на 3 мбайта и при этом каждый отдельный пк входящий в пул получает не больше 2,56 или 3 соответственно?

Цитата:

...Второй - когда отдельно зарезается трафик для одной машины из подсети и для
всей подсети.

Т.о. 3000000/4000000 для одной машины, 2560000/3000000 для подсети. (Если правильно указан класс пула). Если нужно ограничить трафик строго по пользователям, без ограничения суммарной нагрузки от них, то лучше использовать пул 1 класса. Также пропускную способность для подсети нужно делать больше, чем для одного пользователя, иначе можно выбрать объём, который отпущен для всех в "одно жало", а это плохо, т.к. другие пользователя пострадают.


Цитата:

# A pair of delay parameters is written restore/maximum, where restore is
# the number of bytes (not bits - modem and network speeds are usually
# quoted in bits) per second placed into the bucket, and maximum is the
# maximum number of bytes which can be in the bucket at any time.
#
# For example, if delay pool number 1 is a class 2 delay pool as in the
# above example, and is being used to strictly limit each host to 64kbps
# (plus overheads), with no overall limit, the line is:

Цитата:

если сложить 4000000+40000+32000 - то это и есть распределение ширины канала по группам

Да, но именно по группам.


Цитата:

если пул 1 и 2 не качают , то все кто сидит в пуле 3 все равно ограничены максимум 20 кбайтами?

Да, но только не 20Кб, т.к. 1Кб = 1024 байта.

piroJOKE
Посмотри http://forum.ru-board.com/topic.cgi?forum=8&topic=0372&start=520#lt в шапке есть тема про листы, привязанные ко времени. А делать, вероятнее всего, нужно 2 пула, один для первого периода времени, другой для второго.

2 Felix
пулы объявлены так
delay_class 1 2 # Boss
delay_class 2 2 # Admins
delay_class 3 2 # Other

на боссах и админах указаны машины (около 10 ip адресов )
а если у нас 5 мбит весь канал то цифры в 3000000/ 4000000 неправильны?
должно быть 625000 - ширина?

и еще
разные пулы не перекрывают друг друга? тоесть если босс качает , то остальные этого незаметят? а то ходили байки, что когда качают люди из первого пула у остальных тормозит...

VLADIMIRIUS
Если канал 5Мбит/с, то это будет 640кбайт/с.
Дальше дели этот канал как душе хочется.

Цитата:

разные пулы не перекрывают друг друга?

У тебя в интернет исходящая скорость не может быть больше 5Мбит/с, так что если ты выделяешь боссу 6Мбит, и он начинает качать, то гарантированно, с запасом сожрёт весь ваш исходящий канал. Так что распределять имеет смысл с небольшим перекрытием. Каким именно, тут я сказать не могу, это уже эпархия теории телетрафика.
Если у тебя пул 2 класса, то трафик, создаваемый им, будет определяться второй парой чисел. Фактически это представляет собой (в терминологии связи) - мультиплексирование (сбор нескольких пулов и объединение исходящего от них трафика), если взять аналогию с водопроводом, то это изменение диаметра труб: чем ближе к конечному потребителю, тем уже труба.

я хочу 5 мбит поделить так
3 мегабита боссам - 8 человек
1 мегабит админам - 4 рыла
1 мегабит на простых людей - (одновременно неболее 10 качунов)

значит получается вот, что:
delay_parameters 1 393216/393216 -1/-1
delay_parameters 2 131072/131072 32768/32768
delay_parameters 3 131072/131072 32768/32768

вроде все работает проверял
32 кбайта стало максимум во второй группе

интересно как параметр -1/-1 распределяет канал?
кто первйы встал того и тапки?
или если подрубается второй босс и оба качают, то скорость у них падает с 3 мбит до 1,5?

Цитата:

# Note that the figure -1 is used to represent "unlimited".

1Мбит/с = 128 Кбайт/с
=>
общий под 3 Мбит: 392К
общий под 1 Мбит: 128К (у тебя почему-то 32к?!?)

для первого делей пула получается что скорость для каждого 3Мбит, а для всех боссов - не ограничена. Следовательно, когда они в троём начнут качать, то суммарный поток д.б. 9Мбит, а у тебя всего 5 свободных. Я уже говорил, что параметры надо назначать правильно!

delay_parameters 1 -1/-1 393216/393216 = для любого пользователя без ограничений, для всех - не более 3 Мбит.

в двух остальных тоже цифры поправь.

ИМО можно обычным смертным (пул 2 и 3) суммарно сделать не по 1 Мбит/с, а по 1.5-2.0, т.к. вероятно, что начальство не будет постоянно качать, а полоса будет пропадать.


Цитата:

скорость у них падает с 3 мбит до 1,5?

а вот на счёт этого не знаю, т.к. у них стоит анлим у обоих, а про то, какой алгоритм очередей, я честно говоря, не в курсе.

наоборот!!!
вторые 2 числа для юзера
первые для подсети
в описалове так написано

"во второй пул попадают только машины с ACL office.

delay_parameters 2 64000/64000 4000/4000

В итоге вся подсеть, описываемая office, будет использовать канал не больше
512Кбит/с (64Кб/с), но каждый отдельный хост будет качать не более 4Кб в
секунду. Этим правилом очень легко разграничить по скорости разные подсети,
использующие один канал."

VLADIMIRIUS
ага, полностью согласен. Не внимательно доки смотрел %)

Есть замечательный прибабах к сквиду - SAMS.

Цитата:

представляет собой программное средство для администрирования доступа пользователей к прокси-серверу SQUID

Да SAMS рульная весч
всем рекомендую

Цитата:

Да SAMS рульная весч
всем рекомендую

А в браузерах отличных от IE пароль постоянно вводить не нужно?

Apocalypsis

А есть опыт промышленного применения SAMS (500-1000 машин)?

Как он в работе? Глюки ? Подводные камни ?

Поделитесь опытом ...

Прошу сильно не пинать - только начал разбираться со сквидом
есть канал 64к, сквид на FreeBSD
попробовал строить - получилось вот так

Код: http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
redirect_program /usr/local/bin/squidGuard
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl v_all src 195.55.5.0/255.255.255.0
acl comp1 src 195.55.5.220/255.255.255.255
acl comp2 src 195.55.5.203/255.255.255.255
acl sergey src 195.55.5.232/255.255.255.255
acl sacha src 195.55.5.235/255.255.255.255
acl fedija src 195.55.5.248/255.255.255.255
acl mobile src 195.55.55.11/255.255.255.255

#acl unlimited src comp1 comp3
#acl traffic src comp2

acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow comp1 comp2 sacha sergey fedija mobile

http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_reply_access allow all

icp_access allow all

acl SitesWarez dstdomain .nnm.ru .kpnemo.ru .poxe.ru .realmusic.ru publ.lib.ru .xakep.ru uk.nzone.com proklondike.com
acl media urlpath_regex -i \.mp3$ \.asf$ \.wma$ \.avi$ \.mpg$
acl ispoln urlpath_regex -i \.exe$ \.cab$ \.msi$ \.zip$ \.rar$

delay_pools 2
delay_class 1 1
delay_class 2 1
delay_parameters 1 -1/-1
delay_access 1 allow comp1
delay_access 1 deny all
delay_parameters 2 1000/500
http_access deny SitesWarez
delay_access 2 allow comp2 sergey fedija mobile
delay_access 2 deny all
coredump_dir /usr/local/squid/cache

bezvaz
посмотри http://www.bog.pp.ru/work/squid.html#delaypool

Loafer
я там и смотрел, просто не все понимаю, хотелось бы чтоб расстолковали попонятнее, особенно по связке скорость доступа - доступные сайты

товарисчи, помогите-)
собственно, есть сквид, надо ограничивать айпишники по скорости, что сильно много не качали. везде пишут, что надо сделать это через delay_pools. ок. иду в /usr/ports/www/squid26/, make config, ставлю галку на delay polls, после чего прописываю в squid.conf

Цитата:

#shape
acl denis src 192.168.1.230/255.255.255.255
delay_pools 1
delay_class 1 1
delay_access 1 allow denis
delay_access 1 deny all
delay_parameters 1 800/64000

перазгружаю сквид и велезает такая бяка:

Цитата:

2006/09/12 08:54:08| parseConfigFile: line 23 unrecognized: 'delay_pools 1'
2006/09/12 08:54:08| parseConfigFile: line 24 unrecognized: 'delay_class 1 1'
2006/09/12 08:54:08| parseConfigFile: line 25 unrecognized: 'delay_access 1 allo
w denis '
2006/09/12 08:54:08| parseConfigFile: line 26 unrecognized: 'delay_access 1 deny
all'
2006/09/12 08:54:08| parseConfigFile: line 27 unrecognized: 'delay_parameters 1
800/64000'

что делать? судя по всему не включились delay_pools? а может после добавки в конфиг сквид надо переустановить?

fixxoff
собирать кальмара нужно с опцией ./configure --enable-delay-pools
посмотри squid -v присутствует ли в перечислении --enable-delay-pools

P.S. Почитай документацию, хотябы ту, на которую Loafer ссылку привёл.

Felix

Цитата:

посмотри squid -v присутствует ли в перечислении --enable-delay-pools

нет. как его добавить? что-то я совсем не могу сообразить.. заходил в /usr/ports/www/squid26 давал ./configure --enable-delay-pools, говорит, что не знает такой комманды.
что делать?=(


Добавлено:
попробовал сделать make install clean, выдало:

Код: Marina# make install clean
===> Installing for squid-2.6.3
===> squid-2.6.3 depends on file: /usr/local/bin/perl5.8.8 - found
===> Generating temporary packing list
===> Checking if www/squid26 already installed
===> squid-2.6.3 is already installed
     You may wish to ``make deinstall'' and install this port again
     by ``make reinstall'' to upgrade it properly.
     If you really wish to overwrite the old port of www/squid26
     without deleting it first, set the variable "FORCE_PKG_REGISTER"
     in your environment or the "make install" command line.
*** Error code 1