Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в данную темуНачать новую тему
> iptables
Jeepers Creepers
сообщение 20.12.2012 - 12:49
Звезда форума
******
отличительный знак ZELAN
Группа: Участник
Сообщений: 1620
Регистрация: 4.11.2006
Пользователь №: 16590


Господа, возникла такая ситуация: имеем Squid 3 прозрачный, нужно ограничить скорость хоста, к примеру вконтакта, сделал через delay_pool, но беда в том, что у прогрессивного контакта есть https, а прозрачный сквид не работает с этим. Каким правилом файрвола можно закрыть доступ к 443 контакта, либо редиректить на обычный http. Подскажите, пожалуйста.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 20.12.2012 - 13:08
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Jeepers Creepers @ 20.12.2012 - 13:49) *
Господа, возникла такая ситуация: имеем Squid 3 прозрачный, нужно ограничить скорость хоста, к примеру вконтакта, сделал через delay_pool, но беда в том, что у прогрессивного контакта есть https, а прозрачный сквид не работает с этим. Каким правилом файрвола можно закрыть доступ к 443 контакта, либо редиректить на обычный http. Подскажите, пожалуйста.

Перенаправить
Код
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $srcPortNumber -j REDIRECT --to-port $dstPortNumber

Запретить
Код
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $srcPortNumber -j REJECT
Перейти в начало страницы
 
+Цитировать сообщение
Jeepers Creepers
сообщение 20.12.2012 - 13:14
Звезда форума
******
отличительный знак ZELAN
Группа: Участник
Сообщений: 1620
Регистрация: 4.11.2006
Пользователь №: 16590


Дело в том, что нужно таким образом запретить работу только одного адреса (https://vk.com), а под протоколом https работает множество других сайтов - их-то трогать и не надо.
Перейти в начало страницы
 
+Цитировать сообщение
Kreon
сообщение 20.12.2012 - 13:19
/dev/random
*******
отличительный знак Z*
Группа: Участник
Сообщений: 2201
Регистрация: 5.11.2006
Пользователь №: 16651


Цитата(Jeepers Creepers @ 20.12.2012 - 14:14) *
Дело в том, что нужно таким образом запретить работу только одного адреса (https://vk.com), а под протоколом https работает множество других сайтов - их-то трогать и не надо.

Ну сделайте такие правила для всех IP, на которые отзывается vk.com.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 20.12.2012 - 22:55
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Jeepers Creepers @ 20.12.2012 - 14:14) *
Дело в том, что нужно таким образом запретить работу только одного адреса (https://vk.com), а под протоколом https работает множество других сайтов - их-то трогать и не надо.


Ну, как поступают большие дяди... Кроме блокировки по ip, ставится собственный dns, порт 53 заворачивается на него, нежелательные домены прописываются на www.fuck.com
Да, против перенаправления dns есть рецепт - прописать ip в файле hosts на клиентской машине.

А по хорошему, любые ограничения, если это не связано с безопасностью/утечкой данных (делаем что-то ну очень секретное - пилим бюджет например), когда вообще все перекрывается, полная ерунда! Объясню, если работник сидит в контактах, значит пора менять руководителя или работника, ибо варианта всего два: работа есть, но ее исполнения не требуют; работы нет, и тогда работник просто лезет на другой ресурс, благо их навалом!

Так что рекомендую снести все сквиды, сделать простые правила маскарадинга и не парить себе мозг поддержкой зоопарка и борьбой с ветряными мельницами. Тем более сейчас везде вменяемые цены на анлим, просто расширьте канал, и лояльность работников возрастет на порядок.

Сообщение отредактировано leah - 20.12.2012 - 23:11
Перейти в начало страницы
 
+Цитировать сообщение
SinTeZoiD
сообщение 27.12.2012 - 10:33
Звезда форума
******
10 лет с форумомотличительный знак ZELAN
Группа: Модератор
Сообщений: 1446
Регистрация: 5.11.2006
Пользователь №: 16645


Цитата(leah @ 20.12.2012 - 23:55) *
Ну, как поступают большие дяди... Кроме блокировки по ip, ставится собственный dns, порт 53 заворачивается на него, нежелательные домены прописываются на www.fuck.com
Да, против перенаправления dns есть рецепт - прописать ip в файле hosts на клиентской машине.

А по хорошему, любые ограничения, если это не связано с безопасностью/утечкой данных (делаем что-то ну очень секретное - пилим бюджет например), когда вообще все перекрывается, полная ерунда! Объясню, если работник сидит в контактах, значит пора менять руководителя или работника, ибо варианта всего два: работа есть, но ее исполнения не требуют; работы нет, и тогда работник просто лезет на другой ресурс, благо их навалом!

Так что рекомендую снести все сквиды, сделать простые правила маскарадинга и не парить себе мозг поддержкой зоопарка и борьбой с ветряными мельницами. Тем более сейчас везде вменяемые цены на анлим, просто расширьте канал, и лояльность работников возрастет на порядок.

Если это инициатива админа, то да, ерунда.
В случае если не хватает ширины канала, то правильный путь доложить об этом руководству. В форме "сотрудники жалуются на низкую скорость интернетов, это происходит потому, что Маша из бухов и Петя из продаванов слушают музыку из контакта, данную проблему можно решить двумя способами 1)расширить канал в интернет 2)Порезать скорость контакта 3)закрыть его нахрен" А там уже на усмотрение руководства. Кстати по поводу расширения канала: во всяких там БЦ, канал пошире бывает стоит совсем невменяемых денег. И расширять его ради двух дыбылов, которые не хотят работать смысла нет.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 27.12.2012 - 13:26
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(SinTeZoiD @ 27.12.2012 - 11:33) *
Если это инициатива админа, то да, ерунда.
В случае если не хватает ширины канала, то правильный путь доложить об этом руководству. В форме "сотрудники жалуются на низкую скорость интернетов, это происходит потому, что Маша из бухов и Петя из продаванов слушают музыку из контакта, данную проблему можно решить двумя способами 1)расширить канал в интернет 2)Порезать скорость контакта 3)закрыть его нахрен" А там уже на усмотрение руководства. Кстати по поводу расширения канала: во всяких там БЦ, канал пошире бывает стоит совсем невменяемых денег. И расширять его ради двух дыбылов, которые не хотят работать смысла нет.

В случае с БЦ, да, загибают цены.
Обычно, всякие ограничения ничем хорошим не заканчиваются. Приходит тот-же самый продаван и говорит - какого такого !@#$$% мне доступ в порноклассники перекрыли?! А этот продаван конфетами торгует, в коробках не меньше вагона. Да и обычно ни радио, ни скайп с усаськой, ни порноклассники, ни воткатах сами по себе трафика почти не жрут. Жрет видео, торренты и и прочая тяжесть, а вот ее как раз и можно ограничить без всяких сквидов и хитрожопых политик безопасности.

Достаточно настроить qos красиво, благо руководств достаточно, например - ]]>http://habrahabr.ru/post/138562/]]>
Ну и по тегу linux tc - ]]>http://habrahabr.ru/search/?q=%5Btc%5D&target_type=posts]]>
О, блин! Как мне не нравится этот журнал, но вот правильная статья, однако - ]]>http://www.xakep.ru/post/49421/default.asp]]>

А вот что касается - "не хотят работать", здесь либо начальник виноват, либо уволить к нахер, либо понизить до уборщицы, мне первый вариант приятней.

Сообщение отредактировано leah - 27.12.2012 - 13:37
Перейти в начало страницы
 
+Цитировать сообщение
Indigo
сообщение 28.12.2012 - 09:32
Why So Serious?
*******
15 лет с форумоморден V степени
Группа: Модератор
Сообщений: 3426
Регистрация: 26.12.2003
Пользователь №: 1672


Цитата(leah @ 27.12.2012 - 14:26) *
Да и обычно ни радио, ни скайп с усаськой, ни порноклассники, ни воткатах сами по себе трафика почти не жрут.

Вот тут я не соглашусь. Многократно замечал огроменный трафик у клиентов именно со вКонтакта или Одноклассников. Там же теперь и фоточки по мегабайту (и альбомы на тысячи их), и музыка, и видео… Они в топе потребителей.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 28.12.2012 - 14:08
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Indigo @ 28.12.2012 - 10:32) *
Вот тут я не соглашусь. Многократно замечал огроменный трафик у клиентов именно со вКонтакта или Одноклассников. Там же теперь и фоточки по мегабайту (и альбомы на тысячи их), и музыка, и видео… Они в топе потребителей.


Я наверное не очень понятно выразился, сами html-странички + фотки много не жрут, их все обрезают до экранного разрешения для показа, типичный запрос укладывается в 200килобайт, только что проверил.

А все что больше, например мегабайта, отправляем в через фильтры iptables2 в специальную тормозную очередь, в нее же попадают и торренты и прочие видео. Как раз статья из хацкера и рассказывает (почти) как это сделать правильно.

А вот статья, как это сделать совсем правильно, с шейпами, правда только для ftp, но расширить пример на все протоколы труда не составит. Даже видео с примером есть в самом конце - ]]>http://www.cyberciti.biz/faq/linux-traffic...ver-port-21-22/]]>

А вот как это кто-то сделал для дома - ]]>http://www.linux.org.ru/forum/admin/5801431]]>
Перейти в начало страницы
 
+Цитировать сообщение
Jeepers Creepers
сообщение 17.01.2013 - 16:24
Звезда форума
******
отличительный знак ZELAN
Группа: Участник
Сообщений: 1620
Регистрация: 4.11.2006
Пользователь №: 16590


Начальство настояло на сквиде, не для кеширования конечно, а для сбора информации активности посещения интернет-сайтов. Если есть возможность как-то мониторить и записывать в лог, а так же парсить из лога в удобочитаемый html - будьте любезны, поделитесь инфой. Благодарю.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 17.01.2013 - 22:33
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Цитата(Jeepers Creepers @ 17.01.2013 - 17:24) *
Начальство настояло на сквиде, не для кеширования конечно, а для сбора информации активности посещения интернет-сайтов. Если есть возможность как-то мониторить и записывать в лог, а так же парсить из лога в удобочитаемый html - будьте любезны, поделитесь инфой. Благодарю.


Ну, начальству всегда виднее! (IMG:http://forum.netall.ru/style_emoticons/default/bes.gif) Максимум первые два отчета посмотрит, сначала все прикажет зарезать, а потом, месяца через три мучений всего коллектива, все обратно открыть. Данный сценарий квеста опробован мной лично на десятке компаний от 10 до 1000 хомячков.
Awstats тебе в помощь, запускать, натравливая на логи прокси по крону.
Я бы вместо сквида, если нужна только статистика и проксирование без кеширования, поставил бы tinyproxy. За ним ухаживать не нужно, да и работает в некоторых ситуациях быстрее.
Перейти в начало страницы
 
+Цитировать сообщение
Jeepers Creepers
сообщение 18.01.2013 - 10:05
Звезда форума
******
отличительный знак ZELAN
Группа: Участник
Сообщений: 1620
Регистрация: 4.11.2006
Пользователь №: 16590


Я sarg`ом парсю логи - достаточно читаемо. Хотя, если не чистить логи статистики, то заканчиваются inodes. Промежду прочим, интересующий меня вопрос - можно ли увеличить количество inodes без форматирования ФС?
Спасибо за советы, ушел гуглить.
Перейти в начало страницы
 
+Цитировать сообщение
leah
сообщение 18.01.2013 - 13:07
Постоялец форума
*****

Группа: Модератор
Сообщений: 967
Регистрация: 17.08.2004
Пользователь №: 4400


Sarg кажется только для сквида, могу ошибаться, не пользовал никогда.
За awstats ручаюсь, он поддерживает не только сквидовые логи, но и кучу всего, тем более, что практически у всех провайдеров стоит. Да и графики рисует правильные и статистику.

По поводу inodes на EXT2-4 все печально, задается только при создании. Это вам не XFS/GPFS... Собственно, если есть проблема, почему бы и не перейти на XFS, например на тех каталогах, где иноды кончаются?

PS. Про что я и говорил, что следить за сквидом нужно, регулярно чистить кеш/логи с остановкой, иначе он может в такой коллапс систему поставить, что легче переставить заново, чем восстанавливать (IMG:http://forum.netall.ru/style_emoticons/default/sad.gif)

Сообщение отредактировано leah - 18.01.2013 - 13:07
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 18.10.2021 - 04:17