iptables Опции

[Jeepers Creepers]

Господа, возникла такая ситуация: имеем Squid 3 прозрачный, нужно ограничить скорость хоста, к примеру вконтакта, сделал через delay_pool, но беда в том, что у прогрессивного контакта есть https, а прозрачный сквид не работает с этим. Каким правилом файрвола можно закрыть доступ к 443 контакта, либо редиректить на обычный http. Подскажите, пожалуйста.

[leah]

Господа, возникла такая ситуация: имеем Squid 3 прозрачный, нужно ограничить скорость хоста, к примеру вконтакта, сделал через delay_pool, но беда в том, что у прогрессивного контакта есть https, а прозрачный сквид не работает с этим. Каким правилом файрвола можно закрыть доступ к 443 контакта, либо редиректить на обычный http. Подскажите, пожалуйста.

Перенаправить

Код

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $srcPortNumber -j REDIRECT --to-port $dstPortNumber

Запретить

Код

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $srcPortNumber -j REJECT

[Jeepers Creepers]

Дело в том, что нужно таким образом запретить работу только одного адреса (https://vk.com), а под протоколом https работает множество других сайтов - их-то трогать и не надо.

[Kreon]

Дело в том, что нужно таким образом запретить работу только одного адреса (https://vk.com), а под протоколом https работает множество других сайтов - их-то трогать и не надо.

Ну сделайте такие правила для всех IP, на которые отзывается vk.com.

[leah]

Дело в том, что нужно таким образом запретить работу только одного адреса (https://vk.com), а под протоколом https работает множество других сайтов - их-то трогать и не надо.

Ну, как поступают большие дяди... Кроме блокировки по ip, ставится собственный dns, порт 53 заворачивается на него, нежелательные домены прописываются на www.fuck.com
Да, против перенаправления dns есть рецепт - прописать ip в файле hosts на клиентской машине.

А по хорошему, любые ограничения, если это не связано с безопасностью/утечкой данных (делаем что-то ну очень секретное - пилим бюджет например), когда вообще все перекрывается, полная ерунда! Объясню, если работник сидит в контактах, значит пора менять руководителя или работника, ибо варианта всего два: работа есть, но ее исполнения не требуют; работы нет, и тогда работник просто лезет на другой ресурс, благо их навалом!

Так что рекомендую снести все сквиды, сделать простые правила маскарадинга и не парить себе мозг поддержкой зоопарка и борьбой с ветряными мельницами. Тем более сейчас везде вменяемые цены на анлим, просто расширьте канал, и лояльность работников возрастет на порядок.

Сообщение отредактировано leah - 20.12.2012 - 23:11

[SinTeZoiD]

Ну, как поступают большие дяди... Кроме блокировки по ip, ставится собственный dns, порт 53 заворачивается на него, нежелательные домены прописываются на www.fuck.com
Да, против перенаправления dns есть рецепт - прописать ip в файле hosts на клиентской машине.

А по хорошему, любые ограничения, если это не связано с безопасностью/утечкой данных (делаем что-то ну очень секретное - пилим бюджет например), когда вообще все перекрывается, полная ерунда! Объясню, если работник сидит в контактах, значит пора менять руководителя или работника, ибо варианта всего два: работа есть, но ее исполнения не требуют; работы нет, и тогда работник просто лезет на другой ресурс, благо их навалом!

Так что рекомендую снести все сквиды, сделать простые правила маскарадинга и не парить себе мозг поддержкой зоопарка и борьбой с ветряными мельницами. Тем более сейчас везде вменяемые цены на анлим, просто расширьте канал, и лояльность работников возрастет на порядок.

Если это инициатива админа, то да, ерунда.
В случае если не хватает ширины канала, то правильный путь доложить об этом руководству. В форме "сотрудники жалуются на низкую скорость интернетов, это происходит потому, что Маша из бухов и Петя из продаванов слушают музыку из контакта, данную проблему можно решить двумя способами 1)расширить канал в интернет 2)Порезать скорость контакта 3)закрыть его нахрен" А там уже на усмотрение руководства. Кстати по поводу расширения канала: во всяких там БЦ, канал пошире бывает стоит совсем невменяемых денег. И расширять его ради двух дыбылов, которые не хотят работать смысла нет.

[leah]

Если это инициатива админа, то да, ерунда.
В случае если не хватает ширины канала, то правильный путь доложить об этом руководству. В форме "сотрудники жалуются на низкую скорость интернетов, это происходит потому, что Маша из бухов и Петя из продаванов слушают музыку из контакта, данную проблему можно решить двумя способами 1)расширить канал в интернет 2)Порезать скорость контакта 3)закрыть его нахрен" А там уже на усмотрение руководства. Кстати по поводу расширения канала: во всяких там БЦ, канал пошире бывает стоит совсем невменяемых денег. И расширять его ради двух дыбылов, которые не хотят работать смысла нет.

В случае с БЦ, да, загибают цены.
Обычно, всякие ограничения ничем хорошим не заканчиваются. Приходит тот-же самый продаван и говорит - какого такого !@#$$% мне доступ в порноклассники перекрыли?! А этот продаван конфетами торгует, в коробках не меньше вагона. Да и обычно ни радио, ни скайп с усаськой, ни порноклассники, ни воткатах сами по себе трафика почти не жрут. Жрет видео, торренты и и прочая тяжесть, а вот ее как раз и можно ограничить без всяких сквидов и хитрожопых политик безопасности.

Достаточно настроить qos красиво, благо руководств достаточно, например - ]]>http://habrahabr.ru/post/138562/]]>
Ну и по тегу linux tc - ]]>http://habrahabr.ru/search/?q=%5Btc%5D&target_type=posts]]>
О, блин! Как мне не нравится этот журнал, но вот правильная статья, однако - ]]>http://www.xakep.ru/post/49421/default.asp]]>

А вот что касается - "не хотят работать", здесь либо начальник виноват, либо уволить к нахер, либо понизить до уборщицы, мне первый вариант приятней.

Сообщение отредактировано leah - 27.12.2012 - 13:37

[Indigo]

Да и обычно ни радио, ни скайп с усаськой, ни порноклассники, ни воткатах сами по себе трафика почти не жрут.

Вот тут я не соглашусь. Многократно замечал огроменный трафик у клиентов именно со вКонтакта или Одноклассников. Там же теперь и фоточки по мегабайту (и альбомы на тысячи их), и музыка, и видео… Они в топе потребителей.

[leah]

Вот тут я не соглашусь. Многократно замечал огроменный трафик у клиентов именно со вКонтакта или Одноклассников. Там же теперь и фоточки по мегабайту (и альбомы на тысячи их), и музыка, и видео… Они в топе потребителей.

Я наверное не очень понятно выразился, сами html-странички + фотки много не жрут, их все обрезают до экранного разрешения для показа, типичный запрос укладывается в 200килобайт, только что проверил.

А все что больше, например мегабайта, отправляем в через фильтры iptables2 в специальную тормозную очередь, в нее же попадают и торренты и прочие видео. Как раз статья из хацкера и рассказывает (почти) как это сделать правильно.

А вот статья, как это сделать совсем правильно, с шейпами, правда только для ftp, но расширить пример на все протоколы труда не составит. Даже видео с примером есть в самом конце - ]]>http://www.cyberciti.biz/faq/linux-traffic...ver-port-21-22/]]>

А вот как это кто-то сделал для дома - ]]>http://www.linux.org.ru/forum/admin/5801431]]>

[Jeepers Creepers]

Начальство настояло на сквиде, не для кеширования конечно, а для сбора информации активности посещения интернет-сайтов. Если есть возможность как-то мониторить и записывать в лог, а так же парсить из лога в удобочитаемый html - будьте любезны, поделитесь инфой. Благодарю.

[leah]

Начальство настояло на сквиде, не для кеширования конечно, а для сбора информации активности посещения интернет-сайтов. Если есть возможность как-то мониторить и записывать в лог, а так же парсить из лога в удобочитаемый html - будьте любезны, поделитесь инфой. Благодарю.

Ну, начальству всегда виднее! Максимум первые два отчета посмотрит, сначала все прикажет зарезать, а потом, месяца через три мучений всего коллектива, все обратно открыть. Данный сценарий квеста опробован мной лично на десятке компаний от 10 до 1000 хомячков.
Awstats тебе в помощь, запускать, натравливая на логи прокси по крону.
Я бы вместо сквида, если нужна только статистика и проксирование без кеширования, поставил бы tinyproxy. За ним ухаживать не нужно, да и работает в некоторых ситуациях быстрее.

[Jeepers Creepers]

Я sarg`ом парсю логи - достаточно читаемо. Хотя, если не чистить логи статистики, то заканчиваются inodes. Промежду прочим, интересующий меня вопрос - можно ли увеличить количество inodes без форматирования ФС?
Спасибо за советы, ушел гуглить.

[leah]

Sarg кажется только для сквида, могу ошибаться, не пользовал никогда.
За awstats ручаюсь, он поддерживает не только сквидовые логи, но и кучу всего, тем более, что практически у всех провайдеров стоит. Да и графики рисует правильные и статистику.

По поводу inodes на EXT2-4 все печально, задается только при создании. Это вам не XFS/GPFS... Собственно, если есть проблема, почему бы и не перейти на XFS, например на тех каталогах, где иноды кончаются?

PS. Про что я и говорил, что следить за сквидом нужно, регулярно чистить кеш/логи с остановкой, иначе он может в такой коллапс систему поставить, что легче переставить заново, чем восстанавливать

Сообщение отредактировано leah - 18.01.2013 - 13:07