» SQUID: ограничить трафик для отдельного юзера: ширина канала

DemonWather вот делеем и подрежь
delay_parameters 2 -1/-1 2000/16000
-1/-1 – весь канал отдать сквиду - анлимитед, а индивдуально на каждого юзверя ведерки по 16кб, а струйка в него в 2кб ! (сначала быстро усосет 16кб, а потом будет лить со скоростью в 2кб/cек) точнее - быстро будет усасывать объекты размером до 16кб , объекты больше 16кб будет сосать на скорости 2кб/сек

Скажите пожалуйста, как можно привильно ограничить канал самого сервиса Сквид ?
Т.е. мне не надо никого конкретно ограничивать. А просто сделать так, чтоб Сквид мог максимум использовать допустим 1 мб/с ?

Правильно ли я понял ?
Для этого надо сделать:
delay_pools 1
delay_class 1 1
delay_parameters 1 500000/500000
delay_access 1 allow all

И тогда у меня канал будет ограничен 4Mb/s ? Правильно ?

И еще вопрос, если я посталю после http_acces deny all будет ли работать ограничение скорости ?

Здравствуйте уважаемые!

подскажите как правильно получать группы из AD win2k3

строчка с проверкой юзера ( если вводить в консоли )
/usr/lib/squid3/squid_ldap_auth -R -D squidreader@domain.ru -W /etc/squid3/adpw.txt -b "dc=domain,dc=ru" -f "sAMAccountName=%s" 192.168.0.1
тут при вводе логина и пароля всё замечательно проверяется...
в squid конечно перед будет дописано "auth_param basic program "

а вот проверка группы не проходит... ( тоже в консольку )
/usr/lib/squid3/squid_ldap_group -R -b "dc=domain,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,dc=domain,dc=ru))" -D squidreader@domain.ru -W /etc/squid3/adpw.txt 192.168.0.1

это скопировано с какого-то хелпа...
я не совсем понимаю как это должно происходить?
у меня AD организованна следующим образом...
domain.ru
| - domain
| - groups
| - users
| - part1
| - part2
я не понимаю какую именно часть запроса надо исправить и как именно прописать путь до OU с группами...
вопросы чувствую ко мне будут - так что буду отвечать на конкретные ваши мысли - так тяжело еще что-то дополнить...

очень жаль что ни кто мне не ответил(((

чтение манов и форумов тоже ответ мне не дали((( - возможно я криво искал..

спас меня великий метод научного тыка! за 30минут перебора различных комбинации dc и ou наткнулся на нужную... так что вопрос закрыт!

Популярный в научных кругах метод научного тыка в среде работников АйТи отрасли более известен как "пляски с бубном"
Однако для будущих поколений айтишных шаманов мог бы и выложить ноты партии бубна. Если, конечно, результат поддается осмыслению.

Ребята, прошу помощи:

напишите как мне сделать компьютеру с IP 192.168.0.90 доступ только к одному сайту (к примеру forum.ru-board.com), а на все остальные сайты ему доступ запретить!
За раннее спасибо!

r18101989 Тысячу раз уже здесь писали, лень читать?
acl ru-board dstdomain forum.ru-board.com
acl baduser src 192.168.0.90/32
http_access allow baduser .ru-board
http_access deny baduser

Спасибо! буду пробовать!

Добавлено:
а зачем указывать маску/32?

r18101989
Цитата:

а зачем указывать маску/32?

А так в мануале написано. Если лениво маску дописывать, можешь попробовать без нее, авось и так прокатит.

vlary

Цитата:

http_access allow baduser .ru-board

с точкой не запускается

r18101989

Цитата:

acl ru-board dstdomain .ru-board.com
acl baduser src 192.168.0.90/32
http_access deny baduser !ru-board

Вот так попробуй.

r18101989 Блин, да ты копипастер! У меня туда случайно точка влезла, а ты ее не раздумывая туда влепил. Я ведь дал только направление действия, твоя задача была его осмыслить и сделать по науке.
Естественно правильной была бы строчка
http_access allow baduser ru-board
Или как советует Ruza, http_access deny baduser !ru-board
Так даже короче. Но кроме forum.ru-board.com ,
доступ будет еще и на www.ru-board.com

Заработало в таком виде:
acl ru-board url_regex .ru-board.com
acl baduser src 192.168.0.90/32
http_access allow baduser ru-board
http_access deny baduser

r18101989 Можно и через url_regex. Суть не меняется. А можно файл указать, куда если юзер хорошо будет себя вести, еще что-нибудь добавлять потихоньку.

Стоит free+squid+sarg(и lightsquid для пробы). Юзеры не авторизуются. Нужна такая схема:
назначить каждому, допустим по 100мб в месяц, но если эти 100мб они сожрут за 2 дня, то не отключать их совсем, а урезать скорость в 2 раза, например.

zeliboba
Вариант с использованием LightSquid
1. Читать тут: http://forum.ru-board.com/topic.cgi?forum=8&topic=13976&start=160#2
2. выводимый файлик blocked_users вместо блокировки использовать как acl blocked_users src.
3. В delay_pools занизить скорость для acl из пункта 2.

Мужики, случайно ушатал файл /usr/local/bin/sarg
скиньте, плиз на pl-18@mail.ru
релиз 2.2.7.1 для FreeBSD

Подскажите пожалуйста как перекомпилировать Squid?
меняю delay_parameters скоростя остаются прежние перезагружаю Squid тоже самое скоростя режуться на прежней скорости.

OOD
Цитата:

Подскажите пожалуйста как  перекомпилировать Squid?

Да вроде стандартным образом...
Скачиваешь исходники, распаковываешь, заходишь в распакованную директорию,
выполняешь ./configure --enable-delay-pools
Затем - make, и после завершения компиляции в директории src будут
лежать свежескомпиленные бинарники, меняешь ими старые.
Для получения дополнительных опций можешь запустить
./configure --help

Squid был настроен и работал я в нем полный 0
настройки ограничения скорости и групп пользователей таковые:

delay_pools 3
delay_class 1 1
delay_class 2 1
delay_class 3 1

delay_parameters 1 128000/128000
delay_parameters 2 32000/32000
delay_parameters 3 8000/8000

delay_access 1 allow gr-internet1
delay_access 1 deny all
delay_access 2 allow gr-internet2
delay_access 2 deny all
delay_access 3 allow gr-internet3
delay_access 3 deny all

далее делаю:
:qw

squid stop
squid -k reconfigurate
squid start
squid restart

после чего скоростя режуться на иных настройках т.е. параметры delay_parameters не применяются


Добавлено:
Спасибо понял оказывается squid.conf нужно редактировать от имени etc, а не от root....

OOD squid -v покажет тебе, с какими параметрами он был собран.

Цитата:

Спасибо понял оказывается squid.conf нужно редактировать от имени etc, а не от root....

??????

vlary

Цитата:

??????

ну я залогинился под рутом, смотрю папка squid в ней squid.conf отредактировал его , остановил запустил, ребутнул squid сделал squid -k reconfigurate - ничего не меняется потом сделал поиск squid.conf оказалось что он живет в etc\squid\squid.conf и следовательно редактирование копии squid-а которую кто то сделал ничего не дает

Сори с линуксом знаком 2 часа.

OOD
Цитата:

Сори с линуксом знаком 2 часа.

а вы с ним еще и не начали знакомится пока это было только урок по HFS и GNU.

OOD
Цитата:

сделал поиск squid.conf оказалось что он живет в etc\squid\squid.conf

Так он жить не может! В *никсах используются прямые слэши, в отличие от винды.
Так что конфиг живет в /etc/squid/squid.conf

Цитата:

Сори с линуксом знаком 2 часа

Ну знакомься получше, увлекательный секс гарантирован.

Помогите со squidом, никак не могу заставит резать скорость на потоковом видео. вот конфиг

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1


acl localnet src 192.168.0.0/16    # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 8080 transparent

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 40000 16 256

coredump_dir /var/spool/squid

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

acl video_t_rep rep_mime_type content-type video
acl video_t_rep rep_mime_type content-type video/x-flv
acl video_t_rep rep_mime_type content-type application/x-shockwave-flash
acl video_t_rep rep_mime_type content-type application/octet-stream
acl video_t_req req_mime_type content-type video
acl video_t_req req_mime_type content-type video/x-flv
acl video_t_req req_mime_type content-type application/x-shockwave-flash
acl video_t_req req_mime_type content-type application/octet-stream


http_access allow video_t_rep video_t_req
delay_pools 1
delay_class 1 1
delay_access 1 allow video_t_rep video_t_req
delay_access 1 deny all
delay_parameters 1 8000/8000

VladKor
Эм...
Цитата:

http_access allow video_t_rep video_t_req

1 — это правило у Вас не действует. Юзеры ходят в инет по этому
Цитата:

http_access allow localnet

после
Цитата:

http_access deny all

ни какие http_access больше не сработают.

тогда как правильно?
помогите.

VladKor
Ну видимо поместить строку http_access allow video_t_rep video_t_req над deny all.

А дальше я хз по поводу настройки pool'ов, я с ними почти не работал. Единственное я не уверен что rtp видео можно так найти по mime. Список, кстати, и там еще application/x-mpegURL чуть ниже.

Блин, сам задал сам ответил, может кому пригодится. Правда взято из реального конфига.

#=====================================================
# TAG: DELAY POOLS
#=====================================================
acl TIME time SMTWHFA 09:00-18:00
acl download url_regex -i ftp \.exe \.mp3 \.mp4 \.tar.gz \.gz \.tar.bz2 \.bz2 \.rpm \.zip \.rar \.7z \.avi \.mpg \.mpeg \.rm \.iso \.ra \.wav \.mov \.dat \.mpe \.mid \.mp4 \.midi \.rmi \.wma \.wmv \.ogg \.ogm \.m1v \.mp2 \.mpa \.wax \.m3u \.asx \.wpl \.wmx \.dvr-ms \.snd \.au \.aif \.asf \.m2v \.m2p \.ts \.tp \.trp \.div \.divx \.mod \.vob \.aob \.dts \.ac3 \.cda \.vro \.deb \.rpm

acl streaming url_regex -i \.youtube\.com\/videoplayback \.youtube\.com/videodownload \.youtube\.com\/get_video \.youtube\.com\/watch \.cache[a-z0-9]?[a-z0-9]?[a-z0-9]?\.googlevideo\.com\/videoplayback \.cache[a-z0-9]?[a-z0-9]?[a-z0-9]?\.googlevideo\.com\/get_video http:\/\/[a-z][a-z]\.youtube\.com proxy\-[0-9][0-9]\.dailymotion\.com\/ [a-z0-9][0-9a-z][0-9a-z]?[0-9a-z]?[0-9a-z]?\.xtube\.com\/(.*)flv bitcast\.vimeo\.com\/vimeo\/videos\/ va\.wrzuta\.pl\/wa[0-9][0-9][0-9][0-9]?


delay_pools 2
delay_class 1 3
delay_parameters 1 -1/-1 -1/-1 32000/512000
delay_access 1 allow localnet download TIME
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 64000/64000 16000/16000
delay_access 2 allow streaming
delay_access 2 deny all

# Пул номер один, третьего класса, для сетей описанных в листе доступа localnet и download. -1/-1 означает что общая скорость не ограничена,
# для сетей описанных в листах доступа localnet и download не ограничена -1/-1 и каждый IP в данных сетях ограничивает скорость до 32 кб/с,
# при этом первые 512 кбайт будут скачиваться на максимальной скорости

Правильно ли я примечание сделал?