Как ограничить скорость для Squid?
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Как ограничить скорость для Squid?
На шлюзе есть сервисы и Squid. Кроме того, через него ходят и через НАТ. Как с помошью ipfw ограничить входящий поток для Squid?
Глюк глюком вышибают!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Как ограничить скорость для Squid?
ipfw бери из примера:Gamerman писал(а):На шлюзе есть сервисы и Squid. Кроме того, через него ходят и через НАТ. Как с помошью ipfw ограничить входящий поток для Squid?
Код: Выделить всё
#!/bin/sh
fwcmd="/sbin/ipfw"
iif="msk0"
priv_dummynet="250 234 23 33"
norm_dummynet="43 233 30 96"
i=0
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
#---BEGIN DUMMYNET---#
${fwcmd} table 3 flush
while [ $i -le 255 ];
do
${fwcmd} table 3 add 172.17.2.${i}
i=`expr $i + 1`
done
${fwcmd} table 1 flush
for line in ${priv_dummynet}
do
${fwcmd} table 1 add 172.17.2.${line}
${fwcmd} table 3 delete 172.17.2.${line}
done
${fwcmd} table 2 flush
for line in ${norm_dummynet}
do
${fwcmd} table 2 add 172.17.2.${line}
${fwcmd} table 3 delete 172.17.2.${line}
done
#---PRIVELEGED---#
${fwcmd} pipe 1 config mask src-ip 0xffffffff bw 1024Kbit/s
${fwcmd} queue 11 config pipe 1 weight 80 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 12 config pipe 1 weight 80 queue 20 mask src-ip 0xffffffff
${fwcmd} add queue 11 ip from table\(1\) to any in via ${iif}
${fwcmd} add queue 12 ip from any to table\(1\) out via ${iif}
#---NORMAL---#
${fwcmd} pipe 2 config mask src-ip 0xffffffff bw 368Kbit/s
${fwcmd} pipe 3 config mask src-ip 0xffffffff bw 128Kbit/s
${fwcmd} queue 21 config pipe 3 weight 50 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 22 config pipe 2 weight 50 queue 20 mask src-ip 0xffffffff
${fwcmd} add queue 21 ip from table\(2\) to any in via ${iif}
${fwcmd} add queue 22 ip from any to table\(2\) out via ${iif}
#---OTHERS---#
${fwcmd} pipe 4 config mask src-ip 0xffffffff bw 256Kbit/s
${fwcmd} pipe 5 config mask src-ip 0xffffffff bw 64Kbit/s
${fwcmd} queue 31 config pipe 4 weight 30 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 32 config pipe 4 weight 20 queue 20 mask src-ip 0xffffffff
${fwcmd} queue 41 config pipe 5 weight 25 queue 20 mask dst-ip 0xffffffff
${fwcmd} queue 42 config pipe 5 weight 25 queue 20 mask src-ip 0xffffffff
${fwcmd} add queue 31 ip from table\(3\) to any not dst-port 143,5190 in via ${iif}
${fwcmd} add queue 32 ip from any not 143,5190 to table\(3\) out via ${iif}
${fwcmd} add queue 41 ip from table\(3\) to any dst-port 143,5190 in via ${iif}
${fwcmd} add queue 42 ip from any 143,5190 to table\(3\) out via ${iif}
Код: Выделить всё
delay_pools 3
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_access 1 allow IP_FAST_PROXY_USERS AD_FAST_PROXY_USERS
delay_access 1 deny all
delay_parameters 1 -1/-1
delay_access 2 allow IP_NORMAL_PROXY_USERS AD_NORMAL_PROXY_USERS
delay_access 2 deny all
delay_parameters 2 16000/256000
delay_access 3 allow all !IP_FAST_PROXY_USERS !AD_FAST_PROXY_USERS !IP_NORMAL_PROXY_USERS !AD_NORMAL_PROXY_USERS
delay_access 3 deny all
delay_parameters 3 16000/128000
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Как ограничить скорость для Squid?
Либо я Вас не понял, либо Вы меня.
Самим Squid'ом (компиляция с DELAY_POOLS): такой вариант существует, но не совсем подходит.
Дело в том, что пользователи через сквид ходят на локальные сайты (когда забудут включить локальные сайты в исключения проксирования). А зачем мне ограничивать локальные ресурсы?
Также не подходит pipe на порт 3128, потому как исходящий трафик к прокси мизерный и его ограничивать смысла нет.
Делать pipe на локальные машины тоже не стоит, потому что нет смысла ограничивать трафик с шлюза.
Хочеться ограничить канал, по которому сам сквид берет данные с инета. Ограничить стандартные web-порты тоже не стоит, потому что есть сервисы и пользователи (не прокси), которым делать этого не нужно.
Вот и не знаю, как самому сквиду апетит ограничить.
Самим Squid'ом (компиляция с DELAY_POOLS): такой вариант существует, но не совсем подходит.
Дело в том, что пользователи через сквид ходят на локальные сайты (когда забудут включить локальные сайты в исключения проксирования). А зачем мне ограничивать локальные ресурсы?
Также не подходит pipe на порт 3128, потому как исходящий трафик к прокси мизерный и его ограничивать смысла нет.
Делать pipe на локальные машины тоже не стоит, потому что нет смысла ограничивать трафик с шлюза.
Хочеться ограничить канал, по которому сам сквид берет данные с инета. Ограничить стандартные web-порты тоже не стоит, потому что есть сервисы и пользователи (не прокси), которым делать этого не нужно.
Вот и не знаю, как самому сквиду апетит ограничить.
Глюк глюком вышибают!
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Как ограничить скорость для Squid?
Либо я Вас не понимаю, либо Вы меня. Какие проблемы централизованно в GPO выставить исключения локальных ресурсов для прокси-сервера ?Gamerman писал(а):Либо я Вас не понял, либо Вы меня.
Самим Squid'ом (компиляция с DELAY_POOLS): такой вариант существует, но не совсем подходит.
Дело в том, что пользователи через сквид ходят на локальные сайты (когда забудут включить локальные сайты в исключения проксирования).
Ну раз так, поставьте QoS или шейпер на _внешний ифейс_ на порты 80, 443 etc, я ваще проблемы не вижу.
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Как ограничить скорость для Squid?
Пршу прощения, а что такое GPO? И как реализовать это дело?reLax писал(а): Какие проблемы централизованно в GPO выставить исключения локальных ресурсов для прокси-сервера ?
Хотелось бы через ipfw.reLax писал(а): Ну раз так, поставьте QoS или шейпер на _внешний ифейс_ на порты 80, 443 etc, я ваще проблемы не вижу.
Вы имеете в виду правило типа: pipe ... to any 80?
Глюк глюком вышибают!
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Как ограничить скорость для Squid?
GPO - Group Policy Objects - гугл поможет, если сеть вендовая - DC нужен с FreeBSD с интеграцией в AD для порядкаGamerman писал(а):Пршу прощения, а что такое GPO? И как реализовать это дело?reLax писал(а): Какие проблемы централизованно в GPO выставить исключения локальных ресурсов для прокси-сервера ?
Хотелось бы через ipfw.reLax писал(а): Ну раз так, поставьте QoS или шейпер на _внешний ифейс_ на порты 80, 443 etc, я ваще проблемы не вижу.
Вы имеете в виду правило типа: pipe ... to any 80?
Да, именно это я имею ввиду. На внешнем только интерфейсе.
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Как ограничить скорость для Squid?
GPO - Group Policy Objects - гугл поможет, если сеть вендовая - DC нужен с FreeBSD с интеграцией в AD для порядкаreLax писал(а): Вы имеете в виду правило типа: pipe ... to any 80?
[/quote]
Над этим подумаю. Спасибо.
Вариант pipe ... to any 80 рубанет канал не только для сквида, но и для других сервисов (например обновление портов самого шлюза), пользователям за НАТ, которые не используют прокси. Из-за этого собственно и возник вопрос-тема.reLax писал(а): Да, именно это я имею ввиду. На внешнем только интерфейсе.
Глюк глюком вышибают!
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: Как ограничить скорость для Squid?
Да нет, здесь на самом деле проблем нету (с внешнего интерфейса как и с пользователей Squid) в ipfw достаточно указать uid с кого идет запросGamerman писал(а): Из-за этого собственно и возник вопрос-тема.
Пример:
Код: Выделить всё
ipfw add 1 allow all from any to any via em0 uid root
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
Re: Как ограничить скорость для Squid?
Ну вот, собственно, и ответ на мой вопрос. Забыл о uid . Спасибо.reLax писал(а): Да нет, здесь на самом деле проблем нету (с внешнего интерфейса как и с пользователей Squid) в ipfw достаточно указать uid с кого идет запрос
Пример:А юзеры идут на шлюзе с uid squid - вот и делайте выводыКод: Выделить всё
ipfw add 1 allow all from any to any via em0 uid root
Глюк глюком вышибают!