Сужение канала для разных групп пользователей Squid [решено]

[speccyfan]

да да да..ведь предел скорости для них не указан..все верно...во, кстати можно было бы заюзать второй класс, бросить им 32000/32000 10240/262144... интересно, заработало бы?..

Похоже да, заработало бы. Почитайте конфиг сквида, прямо в нем очень подробные комментарии.

p.s. Добавлю, не смотрел на ваши ip, т.е. 2-й класс рассчитан на подсети, первая пара цифр это ограничение для всю подсеть, вторая это ограничение каждого хоста в этой сети. Так что не уверен, что в вашем случае заработало бы правильно.

[tornado]

боюсь перевести неверно..русским пока не обзавелся.. да оно без нужды особо... инфы много в инете... самообучаюсь помаленьку..просто тут такой деликатный вопрос...спасибо вам еще раз большое... пора перейти к практике..отпишусь...

[speccyfan]

Почитайте сообщение выше, я постскриптум дописал... В общем пробуйте, если что спрашивайте. Могу свой рабочий конфиг показать с объяснениями. Там применяются ограничения в зависимости от времени суток, в зависимости от  используемого канала (платный медленный / бесплатный быстрый по которому доступны гостевые ресурсы провайдера)  ограничения на число одновременных сессий.

[tornado]

поизвращался маленько сегодня, но времени было не много, поэтому не копался, просто опишу кое-что...
Решил разбить по маске 255.255.0.0 свою локалку, получить три подсети и назначит для каждой свои права:

Код: [Выделить]

acl all src 192.168.0.0/16
acl the_best src 192.168.0.0/16
acl teachers src 192.168.1.0/16
acl classes src 192.168.2.0/16
delay_pools 3

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow the_best
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 32768/32768 32768/32768
delay_access 2 allow teachers
delay_access 2 deny all

delay_class 3 2
delay_parameters 3 32768/32768 5120/262144
delay_access 3 allow classes
delay_access 3 deny all

Все ок, компы в локали видят друг друга, все они видят прокси (192.168.0.100). Но почему то все группы серфят и качают по максимуму:( не подскажете почему?

Да и еще, как мне правильно было указать группу all? Они ничем не отличаются от acl the_best, айпи подсети имею в виду..

[speccyfan]

Все ок, компы в локали видят друг друга, все они видят прокси (192.168.0.100). Но почему то все группы серфят и качают по максимуму:( не подскажете почему?
Да и еще, как мне правильно было указать группу all? Они ничем не отличаются от acl the_best, айпи подсети имею в виду..

Да потому что все они при вашей настройке попадают под одну подсеть 192.168.0.0/16, и вы получили 65534 хоста в этой сети, если я правильно понял. Я конечно сейчас приболел и может фишку не рублю, но вроде так. На Вашем месте, я бы использовал пулы первого класса, пример конфига я Вам писал, не вижу надобности вам делить сеть па подсети, тем более, если вы их разделите правильно, вам еще понадобиться маршрутизатор.

[tornado]

ну да.. как я думаю дело именно в маршрутизаторе... а программное решение есть для сервера какое-нибудь? я прошу прощения, если выражаюсь не совсем правильно - недавно занимаюсь этими делами...вот так мой конф сегодня выглядел первоначально (тот, что привел выше в посте, сделал потом, тк в этом подсети не видели дру друга):

Код: [Выделить]

acl all src 192.168.0.0/16 #сквид принимает все хосты
acl the_best src 192.168.0.0/24 #разбиваю на подсети
acl teachers src 192.168.1.0/24 #разбиваю на подсети
acl classes src 192.168.2.0/24 #разбиваю на подсети

это как раз тот случай, который вы называете "если вы разделите их правильно".. но сети .1.0 .2.0 не видят .0.0, ну и модем с точкой доступа вай-фай, которые в зоне .0.0. Как то сквид должен маршрутить между сетями...прям нутром чую...но, как пока не знаю...

ваш конф в работе не проверял, оставлю на закусь...просто хотелось красиво..и потом поставил задачу перед собой разбить на подсети и хочу добиться своего, привык так жить... ведь можно же как-то все равно..

ЗЫ простите, если я навязчив, я не преследую цели попудрить мозги от скуки своей...прост оправда интересно.. узнав как это работает, потом любую задачу решу..

[speccyfan]

Я одного не пойму, зачем Вам делить на подсети? Я бы оставил одну сеть с маской /24 и не замачивался. Но если Вам интересно, могу рассказать. Сквид не умеет маршрутизировать, это прокси-сервер, зато linux умеет. Что бы Ваш сервер стал маршрутизатором, нужно:
1. Добавить ip адреса для всех сетей на сетевом интерфейсе, например:
eth0 192.168.0.1/24, eth0:0 192.168.1.1/24, eth0:1 192.168.2.1/24 и т.д.
2. Включить ip_forwarding в ядре.

Код: [Выделить]

echo 1 > /proc/sys/net/ipv4/ip_forward
Что бы это включить перманентно, нужно поправить файлик /etc/net/sysctl.conf
3. Прописать на компьютерах пользователей default gateway, он же маршрут по умолчанию, он же основной шлюз.
Специальных маршрутов на сервере делать видимо не нужно. Надеюсь ничего не забыл...
p.s.  Рассказал в ознакомительных целях, т.е. я не рекомендую Вам делить сеть на подсети :)

[tornado]

спасибо :) не знаю как буду с вами расчитываться... :) попробую..

[speccyfan]

спасибо :) не знаю как буду с вами расчитываться... :) попробую..

Не за что, приятно помогать людям, которые стремятся разобраться. Забыл сказать, что шлюзы будут как раз те самые ip адреса, которые заводили не сервере, т.е. для каждой подсети свой адрес.

[tornado]

вычитал вот... тут берется /24 маска, и подсетью тупо считается диапазон явно указанных айпишников...самое интересное, что юзается второй класс пула:)

Код: [Выделить]

acl Prog    src    192.168.0.1-192.168.0.9
        acl Pupkin  src    192.168.0.10
        acl LocalNet src    192.168.0.0/255.255.255.0
        acl media   urlpath_regex -i \.mp3$ \.asf$ \.wma$

        delay_pools 4
        # сначала ограничим mp3
        delay_class 1 1
        delay_parameters 1 3000/3000
        delay_access 1 allow media
        delay_access 1 deny all
        # ограничим бедного Васю
        delay_class 2 1
        delay_parameters 2 4000/4000
        delay_access 2 allow Pupkin
        delay_access 2 deny all
        # ограничим отдел программирования
        delay_class 3 2
        delay_parameters 3 10000/10000 5000/5000
        delay_access 3 allow Prog
        delay_access 3 deny all
        # а теперь ограничим остальных (второй класс пула)
        delay_class 4 2
        delay_parameters 4 10000/10000  2000/2000
        delay_access 4 deny media
        delay_access 4 deny Pupkin
        delay_access 4 deny Prog
        delay_access 4 allow LocalNet
        delay_access 4 deny all



[tornado]

Все! проблема решилась :) привет всем...вот привожу конфиг, может кому пригодится (на подсети рубить все-такие не стал; для апйшников групп создал отдельные файлы; оказывается сквид отдельные айпи воспринимает, как подсеть, если указывать второй класс пула):

Код: [Выделить]

acl all src 192.168.0.0/24
acl the_best src "/etc/squid/the_best.txt"
acl teachers src "/etc/squid/teachers.txt"
acl classes src "/etc/squid/classes.txt"
#acl down_files urlpath_regex -i \.mp3 \.wav \.ogg \.avi \.mpg \.mpeg \.wmf \.flv \.rar \.zip \.exe \.pdf \.doc \.7z \.jpg

delay_pools 3

delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_access 1 allow the_best
delay_access 1 deny all

delay_class 2 2
delay_parameters 2 32768/32768 32768/32768
delay_access 2 allow teachers
delay_access 2 deny all

delay_class 3 2
delay_parameters 3 32768/32768 5120/262144
delay_access 3 allow classes
delay_access 3 deny all


acl Safe_ports port 80
http_port 3128

cache_dir ufs /var/spool/squid/ 20000 32 256

acl domains dstdomain .mail.ru .porno.ru .vkontakte.ru vkontakte.ru
http_access allow the_best domains
http_access allow teachers domains
http_access deny all domains

acl  SitesRegexSex     dstdom_regex    sex porno film video
http_access allow the_best SitesRegexSex
http_access   deny   all   SitesRegexSex

acl pool_blacklist dstdomain '/etc/squid/blacklist.txt'
http_access deny pool_blacklist

acl   icq_agent   port   5190 2042
http_access allow the_best icq_agent
http_access allow teachers icq_agent
http_access   deny   all   icq_agent


cache_mgr ящик@mail.ru

memory_pools_limit 100 MB

client_db off

icp_port 0

error_directory /usr/share/squid/errors/Russian-koi8-r

request_timeout 1 minute
client_lifetime 8 hours
half_closed_clients off
shutdown_lifetime 3 seconds

visible_hostname    tornado