Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Настройка TrafC

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Eproxy/3.0, build 7566, 22.01.2007
PigMail/PigProxy version 1.29

Добрый день !

Решено сделать квоты различным группам пользователей.
Разобрался как создавать и назначать индивидуальные квоты, конкретным пользователям. А вот с группами не получается.
Понятно описано в http://forum.etype.net/viewtopic.php?t=4746&highlight=trafc , но там 4 пункт если без PigProxy как понимаю.

И как теперь выполнить 4 пункт, создать связи — не знаю.
 
Комментарии к этой версии (13.02.2007 16:54) [~ND] f3649c9d
АвторДатаТекстtags
pig13.02.2007 17:39
В том же списке прав доступа — видимо, в NamedList после запроса авторизации — пишете в подходящее место последовательности строки, где задаются:
  • имя группы
  • действие EN
  • значение поля TERMINATE по вкусу (если предполагается доопределять каналы или права доступа, то 0)
  • имена каналов, лучше с использованием LUserEmail, а не LUser, но на самом деле это тоже по вкусу и в зависимости от ситуации
imported
ND14.02.2007 10:16
Это всё понятно.

имена каналов, лучше с использованием LUserEmail, а не LUser, но на самом деле это тоже по вкусу и в зависимости от ситуации

Как должна выглядеть запись для квоты Quota_Test к примеру ? Пытаюсь записать в таком виде QuotaTest::{LUserEmail}_quota — выдаёт ошибку.
imported
pig14.02.2007 10:59
Какую ошибку выдаёт? Что в оперативный журнал пишется (пятый уровень — AssignedCanalKit:, это же пишется в отдельный журнал TrafC)? И какая базовая версия Eserv? После выхода 3.29 фиксились какие-то ошибки с загрузкой каналов, возможно, они и тут влияют.
imported
ND14.02.2007 11:28
Версии написаны в начале темы.

Удалил все свои настройки по TrafC, и создал новые, установил 5-ый уровень логов — перезагрузил сервис.
Появился файл 20070214HTTPPTrafC:
10:25:33 AssignedCanalKit: Quota-Test::username@domain_quota | Priority: 0 10:25:38 AssignedCanalKit: Quota-Test::username@domain_quota | Priority: 0 10:25:44 AssignedCanalKit: Quota-Test::username@domain_quota | Priority: 0 10:25:48 AssignedCanalKit: Quota-Test::username@domain_quota | Priority: 0 10:25:53 AssignedCanalKit: Quota-Test::username@domain_quota | Priority: 0


Ошибки в EProxy.log:
EXCEPTION! CODE:C0000005 ADDRESS:542E1A WORD:FILL REGISTERS: 2ADE970 00 00 00 00 11 26 59 00 34 00 00 00 54 06 1A 01 .....&Y.4...T... 2ADE980 0D 00 00 00 00 00 00 00 AC FF AD 02 1A 2E 54 00 ........¬_­...T. 2ADE990 1B 00 00 00 02 02 01 00 A0 EB AD 02 23 00 00 00 ........ ė­.#... USER DATA: 11A0654 THREAD ID: 1084 HANDLER: 2ADEBAC RETURN STACK: 2ADEBA0 : 543D6D ERASE 2ADEBA4 : 5928AB :newLit 2ADEBA8 : 544FDC CATCH 2ADEBAC : 2ADEBD0 <not in the image> END OF EXCEPTION REPORT Quota: username@domain_quota FIELD2 evaldnum =DLimit FIELD3 evalnum =Period ;Quota ^ -1073741819 Error Quota-Test::username@domain_quota ^ -1073741819 Error EXCEPTION! CODE:C0000005 ADDRESS:542E1A WORD:FILL REGISTERS: 2ADE970 00 00 00 00 11 26 59 00 34 00 00 00 54 06 1A 01 .....&Y.4...T... 2ADE980 0D 00 00 00 00 00 00 00 AC FF AD 02 1A 2E 54 00 ........¬_­...T. 2ADE990 1B 00 00 00 02 02 01 00 A0 EB AD 02 23 00 00 00 ........ ė­.#... USER DATA: 11A0654 THREAD ID: ADC HANDLER: 2ADEBAC RETURN STACK: 2ADEBA0 : 543D6D ERASE 2ADEBA4 : 5928AB :newLit 2ADEBA8 : 544FDC CATCH 2ADEBAC : 2ADEBD0 <not in the image> END OF EXCEPTION REPORT Quota: username@domain_quota FIELD2 evaldnum =DLimit FIELD3 evalnum =Period ;Quota ^ -1073741819 Error Quota-Test::username@domain_quota ^ -1073741819 Error


Ошибки в 20070214HTTPPErr:
10:25:33 1034 Error 1073741819 in the rule file "myconf\http-proxy\plugins\acl\OnRequest.rules.txt", line: 28, char: 25 10:25:38 1035 Error 1073741819 in the rule file "myconf\http-proxy\plugins\acl\OnRequest.rules.txt", line: 28, char: 25 10:25:44 1045 Error 1073741819 in the rule file "myconf\http-proxy\plugins\acl\OnRequest.rules.txt", line: 28, char: 25 10:25:48 1049 Error 1073741819 in the rule file "myconf\http-proxy\plugins\acl\OnRequest.rules.txt", line: 28, char: 25 10:25:53 1054 Error 1073741819 in the rule file "myconf\http-proxy\plugins\acl\OnRequest.rules.txt", line: 28, char: 25
imported
pig14.02.2007 12:00imported
ND14.02.2007 14:04
Разобрался.
imported
ND16.02.2007 15:06
Теперь про сброс квот.

Создал нужный файл reset-quotas-list.flag со списком. Но ничего не происходит.
В описании TrafC есть пункт:
2. Включить плагин flagmon и перезапустить Eproxy.

Где в PigProxy включается этот plugin ?
imported
pig16.02.2007 16:15
С монитором флагов я пока не разбирался. Плагин можно руками прописать в OnStartupPlugins. И список его придётся руками редактировать. Как минимум — скопировать Eproxy_FlagsList.txt из CONF.orig\lists\
imported
ND19.02.2007 16:17
Скопировал Eproxy_FlagsList.txt из CONF.orig\lists\, прописал плагин fladmon в OnStartupPlugins.
Вроде всё работает, квоты сбрасываются.

Теперь возник вопрос просмотра статистики. Пользуюсь страницей —
http://proxy-server:3140/trafc/stat_quotas.html.
Что неудобно:
  • при выборе "Все каналы" -> "вывести статистику", пытается вывести всю таблицу логов за выбранный день с поминутным интервалом. Выводится только пользователей 20, а дальше с правой стороны в таблице "каша".
  • мне всё это видеть и не надо вообщем, хватило бы просто таблицы из 4-х столбцов: пользователь — потрачено — выделено — когда сброс.
  • о блокировке пользователя можно узнать только посмотрев eproxy.log или зайдя в его статистику. Неплохо бы видеть сразу на первоначальной странице статистики пометку о блокировке
Какие ещё варианты есть просмотра статистики квот TrafC?
imported
pig19.02.2007 17:01
ND пишет: - при выборе "Все каналы" -> "вывести статистику", пытается вывести всю таблицу логов за выбранный день с поминутным интервалом. Выводится только пользователей 20, а дальше с правой стороны в таблице "каша".

Пришлите мне HTML-код этой каши и исходные данные — списки каналов, включая UserCanalsList, статистику TrafC и файлы из {Dirs[TrafC]}\canals\save\quotas\ (оттуда берутся имена Quota-каналов для статистики). Посмотрю у себя.

ND пишет: - мне всё это видеть и не надо вообщем, хватило бы просто таблицы из 4-х столбцов: пользователь — потрачено — выделено — когда сброс.
  • о блокировке пользователя можно узнать только посмотрев eproxy.log или зайдя в его статистику. Неплохо бы видеть сразу на первоначальной странице статистики пометку о блокировке
Хорошо, я об этом подумаю. Всё равно там надо доделывать. Посмотрю, откуда что брать.
ND пишет: Какие ещё варианты есть просмотра статистики квот TrafC?

Я не знаю таких.
imported
ND19.02.2007 17:49
Выслал на почту указанную в профиле архив под паролем Dirs[TrafC].
imported
pig19.02.2007 19:59
Я Рувиму продублировал. В "родных" отчётах должно быть то же самое, там неявно предполагается, что состав каналов неизменен. А они вместо этого интенсивно нарождаются на основе классов, структура журнала плывёт, и заголовок, сформированный по первой строке журнала, не соответствует нижележащим строкам. Особенно после сброса квот, когда каналы начинают копиться заново.

Собственно, у меня повторён "родной" отчёт, только косметика наведена.
imported
rvm25.02.2007 22:38
хватило бы просто таблицы из 4-х столбцов: пользователь — потрачено — выделено — когда сброс

Это сделано, измененые файлы см. в http://www.eserv.ru/ru/rss/50.xml , в записях от сегодняшнего числа. Обновление после 3.29 временно выложил архивом TrafC-update-after-329.rar, распаковать в каталог Eproxy/conf/plugins/TrafC.
imported
ND26.02.2007 11:06
Теперь слово за pig, когда он сделает обновления для PigProxy.

У пользователя закончилась квота, выдалась страничка-оповещение. Пользователь нажал на ссылке для просмотра статистики использования квоты, ввёл имя и пароль (а как сделать чтобы пользователю не надо было вводить ничего, для доступа к Интернету используется IP-авторизация), выбрал день и ... видит таблицу статистику по всем пользователям — а не только свою статистику.
imported
pig26.02.2007 12:13
ND пишет: Теперь слово за pig, когда он сделает обновления для PigProxy.

Буду смотреть, что там поменялось.

ND пишет: У пользователя закончилась квота, выдалась страничка-оповещение. Пользователь нажал на ссылке для просмотра статистики использования квоты, ввёл имя и пароль (а как сделать чтобы пользователю не надо было вводить ничего, для доступа к Интернету используется IP-авторизация),

Использовать IP-авторизацию для acWEB.

ND пишет: выбрал день и ... видит таблицу статистику по всем пользователям — а не только свою статистику.

Он должен видеть только те каналы, к которым у него есть доступ — это настраивается в UserCanalsList.
imported
ND26.02.2007 12:18
В UserCanalsList этот пользователь вообще не был прописан, но видел всю статистику по всем.
imported
pig26.02.2007 13:54
Значит, я где-то налажал.
imported
pig03.03.2007 17:29
http://www.eserv.ru/download/ElogScript.rar — переделка статистики TrafC. Баг с нефильтрацией по пользователю найден и изведён. Заодно исправлен баг в Elog, из-за которого общий анализ для прокси насчитывал трафик больше, чем анализатор конкретного протокола.
Предполагается, что доработки Рувима из ftp://ftp.eserv.ru/pub/TrafC-update-after-329.rar вы себе уже поставили.
Кособокость таблицы пока осталась, там нужны очень серьёзные переделки.
imported
ND04.03.2007 14:20
Установил. Посмотрел. То что надо ! Всё сразу и на одном экране.
Только можно сделать выравнивание двух колонок с байтами по правому краю ? Чтобы байты шли под байтами, килобайты под килобайтами, и т.д.
imported
pig05.03.2007 01:52
Перезакачал архив с исправлением.
imported
ND15.03.2007 15:39
Пытаюсь сделать чтобы пользователь при заходе на ссылку
http://proxy_server:8085/my/trafc мог просмотреть свой трафик.
Выскакивал запрос на имя+пароль. Т.к. у меня везде идёт IP+MAC авторизация, то выставил в INI файле для HTTP использовать IP-авторизацию (кстати, не смог найти эту опцию в Web-интерфейсе).
Пользователь заходит, показывается страничка — но на ней нет самих данных. В списке журнала присутствуют файлы за все дни.
Под администратором — всё прекрасно видно по всем.
Как добиться теперь отображения трафика под пользователем ?
imported
pig15.03.2007 17:48
Спасибо, про IP-авторизацию добавлю.

А дальше — на странице выбора список каналов пустой? Надо посмотреть, кем получается авторизация по IP и какие каналы этому пользователю сопоставлены в UserCanalsList.
imported
ND16.03.2007 09:07
Да, список каналов пустой.
У меня все каналы динамические и список UserCanalsList я не заполнял.
Для теста в UserCanalsList я занёс только себя. Зашёл по ссылке http://proxy_server:8085/my/trafc. Авторизировалось правильно, смотрел по логу 20070316HTTP.log. И всё-равно пусто, хотя в UserCanalsList запись про меня есть.

У меня ведь включено "Автозаполнение" — а это его задача вести список каналов пользователя для просмотра статистики ?
imported
pig16.03.2007 11:11
И на самой страничке логин тоже правильно показывает? Прикрепите на support кусок лога HTTP, UserCanalsList и HTML-текст страницы. Или пришлите мне в почту.

А без IP-авторизации, когда логин и пароль спрашивался — список доступных каналов отображался?
imported
ND16.03.2007 11:20
Логин правильно показывается. И без IP-авторизации также правильно показывался.
Сейчас всё перешлю.
imported
pig16.03.2007 11:46
Сейчас с искусственным UserCanalsList совпадения не будет точно. Пользователь должен быть записан в нижнем регистре. Попробуйте исправить. Я выборку потом переделаю, чтобы регистр значения не имел, но пока так. Попозже пришлите автоматически заполненный список.
imported
ND16.03.2007 11:57
Переписал в UserCanalsList пользователя в нижнем регистре — без изменений. Или надо везде переписывать пользователя, во всех настройках ?
Попозже пришлите автоматически заполненный список.

Автозаполение включено, но где найти сам список ?
imported
pig16.03.2007 12:24
ND пишет: Переписал в UserCanalsList пользователя в нижнем регистре — без изменений. Или надо везде переписывать пользователя, во всех настройках ?

В остальных местах сравнение регистронезависимое. Ладно, буду думать дальше.

ND пишет: Автозаполение включено, но где найти сам список ?

Так UserCanalsList и должен заполняться-изменяться.
imported
ND16.03.2007 12:34
pig пишет: Так UserCanalsList и должен заполняться-изменяться.
не заполняется и не изменяется
imported
pig16.03.2007 12:37
Ещё раз посмотрел в присланный UserCanalsList. Там же имена каналов должны быть в том виде, как их TrafC генерирует. логин@домен_quota — см. в DATA\trafc\canals\save\quotas\, там имена файлов совпадают с именами каналов.
imported
ND16.03.2007 12:45
переправил — показывает по пользователю занесённому вручную

Почему не формируется список автоматически ?
imported
ND16.03.2007 12:59
Ещё вопросы:
  • вверху страницы есть шапка, как её убрать для пользователей. Оставить только таблицу
  • пользователям доступен просмотр квот как по http://server:8085/my/trafc, так и по http://server:3140/my/trafc. Как убрать им доступ по порту 3140
  • при выводе статистики есть ли возможность выводить колонку с трафиком, а не только с количеством обращений
imported
pig16.03.2007 13:35
ND пишет: Почему не формируется список автоматически ?

Теперь понятно, куда копать. При запуске Eproxy флаг автозаполнения стоял? Это не динамически отключаемая/подключаемая опция. Если стоял — посмотрите, там где-нибудь в другом месте ещё один UserCanalsList не завёлся?

ND пишет: - вверху страницы есть шапка, как её убрать для пользователей. Оставить только таблицу

Какая шапка и на какой странице? Где собственно просмотр статистики?

ND пишет: - пользователям доступен просмотр квот как по http://server:8085/my/trafc, так и по http://server:3140/my/trafc. Как убрать им доступ по порту 3140

Никак. А надо?

ND пишет: - при выводе статистики есть ли возможность выводить колонку с трафиком, а не только с количеством обращений

А это где такое? В квотах вроде бы никакого количества обращений нет, там килобайты и проценты.
imported
ND16.03.2007 13:54
  • флаг автозаполения установлен при запуске. поиском искал файл UserCanalsList — нигде заполненного файла не нашёл
  • заходит пользователь на http://server:8085/my/trafc, а вверху идут ссылки " скачать | документация (локально) | документация (онлайн) | новости Eserv | новости PigMail | форум | поддержка | сообщить об ошибке ", поиск, подписка. Вот это всё убрать бы для пользователя
  • вообще-то без разницы, но тогда при окончании квоты сделать чтобы ссылка вела на 8085 порт, а не 3140 — зачем "светить" административный порт
  • ясно, просто там заголовка не было. ещё добавить бы в конце таблицы — итого.
imported
pig16.03.2007 14:30
ND пишет: - флаг автозаполения установлен при запуске. поиском искал файл UserCanalsList — нигде заполненного файла не нашёл

Поломалось? Или с самого начала не работало? Видимо, я что-то пропустил у себя, надо посмотреть внимательнее...

ND пишет: - заходит пользователь на http://server:8085/my/trafc, а вверху идут ссылки " скачать | документация (локально) | документация (онлайн) | новости Eserv | новости PigMail | форум | поддержка | сообщить об ошибке ", поиск, подписка. Вот это всё убрать бы для пользователя

Логично. Посмотрю на этот скин свежими глазами.

ND пишет: - вообще-то без разницы, но тогда при окончании квоты сделать чтобы ссылка вела на 8085 порт, а не 3140 — зачем "светить" административный порт

3140 там как раз специально, потому что он есть всегда. А "публичного" порта может и не быть, если acWEB только для администрирования. У меня даже опция web-интерфейса есть — разрешить на публичном порту раздел /my/ или только на закрытом оставить. Можно для TrafC настройку добавить, на какой именно порт пользователей отправлять.

ND пишет: - ясно, просто там заголовка не было. ещё добавить бы в конце таблицы — итого.

Набежавшее за день? Да, невредно.
imported
ND16.03.2007 14:37
Поломалось? Или с самого начала не работало?

С самого начала не работало.
3140 там как раз специально, потому что он есть всегда. А "публичного" порта может и не быть, если acWEB только для администрирования.
ясно
imported
pig16.03.2007 14:45
pig пишет:
ND пишет: - флаг автозаполения установлен при запуске. поиском искал файл UserCanalsList — нигде заполненного файла не нашёл

Поломалось? Или с самого начала не работало? Видимо, я что-то пропустил у себя, надо посмотреть внимательнее...

Понял, где наврал. Теперь надо думать, как обойти.
imported
pig16.03.2007 14:53
Eproxy\myconf\plugins\TrafC\index.f
Добавьте в конце такую строчку:
: TrafC[UseCanalsCollect] ( -- addr u ) S" PROXY[UseCanalsCollect]" EVALUATE ;
imported
ND16.03.2007 15:24
Список стал автозаполняться. Посмотрю за работой.

Вылезли другие ошибки в EProxy.log. Файл лога отсылаю по почте. И ошибки уже были сегодня до последней правки, просто не смотрел за этим логом.
imported
ND16.03.2007 15:49
Звонит пользователь — закончилась квота. Смотрю, да действительно закончилась. Иду смотреть по ELog что посещалось, а там показывается на 50 МБ меньше трафика, чем в квотах.
Информация из cache считается в квотах и в ELog ?
imported
pig16.03.2007 15:52
Насчёт Unknown entry code проверьте, насколько старый у вас Eproxy\myconf\log.str.txt

Откуда там IvSERVER_IP вылезает, понять сложно. Тем более без всякого указания на ошибку. 20070316HTTPPErr.log не образовался?
imported
ND16.03.2007 15:58
Eproxy\myconf\log.str.txt — 23.01.2007 23:16 (62393 байт)

20070316HTTPPErr.log — образовался.
Вот сейчас EProxy.log пополнился новыми ошибками.

Выслал все 3 файла по почте.
imported
pig16.03.2007 16:17
Eproxy в памяти не распух? Если выключить автозаполнение UserCanalsList, глюки не прекратятся?
imported
ND16.03.2007 16:24
С последней перезагрузки (в отправленном EProxy видно когда это было):
CPU Time — 00:27:00
Mem usage — 6900K
VM Size — 8792K
Handles — 333
Threads — 31

Попробую выключить, но попозже.
imported
pig16.03.2007 19:04
ND пишет: Звонит пользователь — закончилась квота. Смотрю, да действительно закончилась. Иду смотреть по ELog что посещалось, а там показывается на 50 МБ меньше трафика, чем в квотах.
Информация из cache считается в квотах и в ELog ?

Что считается в квотах, я точно не знаю. Подозреваю, что трафик по внешнему интерфейсу. ELog по умолчанию тоже показывает трафик, который относит к внешнему. Но у вас ведь что-то исключено, какие-то хосты, доступные через прокси, но считающиеся локальными. ELog этот трафик относит в графы передано/принято локально и по умолчанию вообще не суммирует, если не велено считать внутренний трафик.
imported
ND19.03.2007 09:19
Если выключить автозаполнение UserCanalsList, глюки не прекратятся?


Выключал, при начале рабочего дня в логе EProxy.log опять:
IvSERVER_IP

Включил автозаполнение обратно.
imported
pig19.03.2007 11:22
А другие глюки?
Из письма:
rvm пишет: Если баг стабильно повторяется, почему бы не отключать по-очереди все плагины для его локализации?
imported
ND19.03.2007 11:38
Отключил TrafC -> стал ругаться на FlagMon
Отключил в myconf\OnStartupPlugins.rules.txt FlagMon -> стал ругаться на правила NamedList и WhiteList
Убрал в правилах (NamedList и WhiteList) ссылки на квоты

Сейчас отключены TrafC и FlagMon, вычищены правила — ошибок нет.
imported
pig19.03.2007 11:44
ND пишет: Отключил TrafC -> стал ругаться на FlagMon
Отключил в myconf\OnStartupPlugins.rules.txt FlagMon -> стал ругаться на правила NamedList и WhiteList

Интересно на ругань посмотреть.
imported
ND19.03.2007 11:50
Я всё почистил уже
Ну да ладно, подключил опять FlagMon.
EProxy.log
:NONAME reset-quotas Exception #-2003 at: ..\CONF.pigmail\lists\Eproxy_FlagsList.txt:3:73: "reset-quotas-all.flag";"reset-quotas";"1";"Ńįšīńčņü ń÷åņ÷čźč āńåõ źāīņ" ^ myconf\OnStartupPlugins.rules.txt - file not found Exception #-2003 at: myconf\OnStartupPlugins.rules.txt:82:23: Plugin: plugins\flagmon ^ myconf\OnStartupPlugins.rules.txt - file not found Exception #-2003 at: myconf\OnStartup.rules.txt:6:27: EvalRules: OnStartupPlugins ^ myconf\OnStartupPlugins.rules.txt - file not found -2003

20070319EProxyErr.log:
10:47:51 0 Error 2003 in the rule file "..\CONF.pigmail\lists\Eproxy_FlagsList.txt", line: 3, char: 73 10:47:51 0 Error 2003 in the rule file "myconf\OnStartupPlugins.rules.txt", line: 82, char: 23 10:47:51 0 Error 2003 in the rule file "myconf\OnStartup.rules.txt", line: 6, char: 27


Ошибка в правилах была про LUserEmail
imported
pig19.03.2007 12:22
ND пишет:
:NONAME reset-quotas Exception #-2003 at: ..\CONF.pigmail\lists\Eproxy_FlagsList.txt:3:73:[/quote:41646ce26f] Спасибо, понял. Это уже переделано для 1.30. Никакого списка флагов не будет, плагины будут сами ставить обработчики какие нужны. [quote:41646ce26f="ND"]Ошибка в правилах была про LUserEmail[/quote:41646ce26f] А за это огромное спасибо. Сделаю затычку.
imported
GORR25.05.2007 10:10
День добрый, неполучается квоты группе поставить,ткните носом пожалйста где неправильно, пример: пользователь состоит в группе Admins, надо ему поставить квоту 500 Kb в день на входящий траф:

BandsList.txt
"NAME";"CPS";"DIRECTION";"ISCLASS"
"Admins";"5000";"IN"

QuotasList.txt
"NAME";"VOLUME";"PERIOD";"DIRECTION";"ISCLASS"
"AdminsQuota";"500 Kb";"1 Days";"IN"

RulesList.txt
"Antecedent";"Consequent";"ISEOF"
IsGroupMember: Admins; Admins AdminsQuota 1 Priority!;

PS. RulesList.txt создавал в Wizard, не вручную,плагины http-proxy\plugins\TrafC и plugins\TrafC включены.
imported
pig25.05.2007 10:28
А пользователь-то авторизуется?
imported
GORR25.05.2007 10:37
Инет работает,авторизуется через acl если вы об этом
imported
pig25.05.2007 11:26
Посмотрите в DATA\log\stat\{YYYYMM}auth.txt, что там про авторизацию пишется. Какой пользователь, в каком домене, успешно ли. Можно ещё в DATA\log\stat\{YYYYMM}acl.txt заглянуть.
imported
GORR25.05.2007 11:49
это небольшой кусок из DATA\log\stat\{YYYYMM}auth.txt

2007-05-25 13:32:03;192.168.131.115;HTTP-PROXY;mashkovia;nfsol.ru;1;nfsol.ru(md5)
2007-05-25 13:32:03;192.168.131.115;HTTP-PROXY;mashkovia;nfsol.ru;1;nfsol.ru(md5)
2007-05-25 13:32:03;192.168.131.115;HTTP-PROXY;mashkovia;nfsol.ru;1;nfsol.ru(md5)

mashkovia это пользователь,которому надо квоту поставить,nfsol.ru наш домен

а такого файла {YYYYMM}acl.txt че то не ту в этой папке ,есть там еще {YYYYMM}stat.txt, вот че в нем:

2007-05-25 13:47:37;192.168.131.115;HTTP-PROXY;702;931;270;685;265;mashkovia;nfsol.ru;3128;00-50-DA-D6-C1-1D
2007-05-25 13:47:37;192.168.131.115;HTTP-PROXY;708;494;270;691;296;mashkovia;nfsol.ru;3128;00-50-DA-D6-C1-1D
2007-05-25 13:47:37;192.168.131.115;HTTP-PROXY;682;409;270;665;281;mashkovia;nfsol.ru;3128;00-50-DA-D6-C1-1D
2007-05-25 13:47:37;192.168.131.115;HTTP-PROXY;700;409;270;683;297;mashkovia;nfsol.ru;3128;00-50-DA-D6-C1-1D

но это наверно для статистики...
imported
pig25.05.2007 14:12
Странно, что лог ACL отсутствует. Видимо, нет совпадения по спискам. Но авторизация проходит. Хорошо. В свойствах источника авторизации nfsol.ru(md5) что прописано в поле AUTH_OPT? Там должен быть путь к списку группировки. Далее: что в этом списке группировки написано про пользователя и его принадлежность к группам?
imported
GORR25.05.2007 14:30
Вот содержимое AuthSources.txt:

"SOURCE_NAME";"AUTH_TYPE";"AUTH_PAR";"AUTH_OPT"
"nfsol.ru(md5)";"auth_md5";"{Auth[UserList]}";"{Auth[GroupList]}"
"nfsol.com(md5)";"auth_md5";"{Auth[UserList]}";"{Auth[GroupList]}"
"clientbank(md5)";"auth_md5";"{Auth[UserList]}";"{Auth[GroupList]}"

соответственно GroupsList.txt:

"USER";"IN_GROUP"
"MashkovIA";"Admins"

Кстати, имеет тут значение регистр,потому что тут "MashkovIA", а не "mashkovia"? Хотя по-существу наверное не должно это влиять.
imported
pig25.05.2007 17:27
Вроде правильно. А если на конкретного пользователя квоту поставить — сработает или нет?
В поле Antecedent:
User =~ MashkovIA

Или:
LoggedAs: MashkovIA@nfsol.ru
imported
GORR28.05.2007 07:05
Нет не работает,пробовал подставлять и то и другое.
imported
GORR28.05.2007 07:42
Кажись разобрался,у меня сертификата нету на TrafC, что самое интересное до этого я включал плагины и перезапускал eproxy он не ругался,а сегодня свет забирали,сервак перезагрузился и при запуске eproxy ругнулся на отсутствие сертификата.
imported
Enotos19.09.2007 14:36
Господа, подскажите такой вопрос:

Настроил правила
"IsGroupMember: min_inet";"Q-min_inet::{LUser}_quota";
"IsGroupMember: Admin";"Q-admin::{LUser}_quota";
"User =~";"Q-no_inet";
"IP= 10.74.22.*";"Q-no_inet";
"IsGroupMember: normal_inet";"Q-normal::{LUser}_quota";
"IsGroupMember: no_inet";"Q-no_inet::{LUser}_quota";

настроил квоты
"Q-normal";"500 Mb";"720 Hours";"IN";"1"
"Q-admin";"1500 Mb";"720 Hours";"IN";"1"
"Q-min_inet";"200 Mb";"720 Hours";"IN";"1"
"Q-No_inet";"1 Mb";"720 Days";"IN";

Запустил плагины plugins\TrafC и http-proxy\plugins\TrafC, перезапустил проксю, вроде поначалу все заработало, автоматом создались квоты на пользователей и стало считать кто сколько съел...
ОДНАКО заметно реальное замедление открытия страниц — страница с отключенными картинками (чистый текст) грузится по 4-5-7 минут... при отключении TrafC проблема уходит...
В чем могут быть грабли
imported
Enotos19.09.2007 14:41
И еще — сразу после запуска плагинов TrafC перестает открываться страница с настройками правил. т.е. по ссылке "Правила(Wizard)" правила видны, а по ссылке "Правила" выдает страницу, но правила на ней не отображает, как будто их вообще нет...
При отключении TrafC все появляется на место...
При чем сам файл RulesList.txt остается цел, но появляется файл RulesList.txt.new нулевой длинны...
imported
Enotos19.09.2007 15:17
вдогонку — можно ли заменить
"IsGroupMember: min_inet";"Q-min_inet::{LUser}_quota";
"IsGroupMember: admin";"Q-admin::{LUser}_quota";
"User =~";"Q-no_inet";
"IP= 10.74.22.*";"Q-no_inet";
"IsGroupMember: normal_inet";"Q-normal::{LUser}_quota";
"IsGroupMember: no_inet";"Q-no_inet::{LUser}_quota";

на

"IsGroupMember: {LGroup}";"{LGroup}::{LUser}_quota";
"User =~";"Q-no_inet";

при условии что квоты будут называтсья как же как и группы пользователей:
"normal_inet";"500 Mb";"720 Hours";"IN";"1"
"admin";"1500 Mb";"720 Hours";"IN";"1"
"min_inet";"200 Mb";"720 Hours";"IN";"1"
"no_inet";"1 Mb";"720 Days";"IN";

P.S. 10.74.21.* = моя подсеть, а 10.74.22.* = подсеть другой организации в общей физической сети.
imported
pig19.09.2007 15:29
Это не совсем корректно:
"User =~";"Q-no_inet";

Может быть и неудачная попытка авторизации — User останется непустым.
Лучше вообще так:
"UID @ 0=";Disabled;

Я правильно понял, что неавторизованным надо вообще доступ запретить?

А вот это совсем неверно:
IP= 10.74.22.*

Во-первых, IP= — это проверка собственного IP, интерфейса, который принял подключение. Во-вторых, тут должно быть конкретное значение, маски не поддерживаются. Правильные варианты:
PeerIP:Mask= 10.74.22.0:255.255.255.0

CLIENT =~ 10.74.22.*


Enotos пишет: сразу после запуска плагинов TrafC перестает открываться страница с настройками правил. т.е. по ссылке "Правила(Wizard)" правила видны, а по ссылке "Правила" выдает страницу, но правила на ней не отображает, как будто их вообще нет

А вы на web-интерфейс случайно не через прокси ходите? Есть такое подозрение, что файл просто занят, редактор не может получить к нему монопольный доступ.

Про замедление ничего не могу сказать. Вроде как никто до сих пор не жаловался.
imported
Enotos19.09.2007 15:54
Enotos пишет: вдогонку — можно ли заменить
"IsGroupMember: min_inet";"Q-min_inet::{LUser}_quota";
"IsGroupMember: admin";"Q-admin::{LUser}_quota";
"User =~";"Q-no_inet";
"IP= 10.74.22.*";"Q-no_inet";
"IsGroupMember: normal_inet";"Q-normal::{LUser}_quota";
"IsGroupMember: no_inet";"Q-no_inet::{LUser}_quota";

на

"IsGroupMember: {LGroup}";"{LGroup}::{LUser}_quota";
"User =~";"Q-no_inet";

при условии что квоты будут называтсья как же как и группы пользователей:
"normal_inet";"500 Mb";"720 Hours";"IN";"1"
"admin";"1500 Mb";"720 Hours";"IN";"1"
"min_inet";"200 Mb";"720 Hours";"IN";"1"
"no_inet";"1 Mb";"720 Days";"IN";

P.S. 10.74.21.* = моя подсеть, а 10.74.22.* = подсеть другой организации в общей физической сети.
все таки реально так сделать как я здесь описал ? а то я прописал
"IsGroupMember: {LGroup}";"{LGroup}::{LUser}_quota";
"UID @ 0=";Disabled;

но у меня теперь не считается статистика по каналам пробовал и так: "IsGroupMember: {Group}";"{Group}::{LUser}_quota";
imported
pig19.09.2007 16:45
LGroup — точно нет такого слова. Group — определено в плагине groups_ext. Но оно заполняется в самом правиле IsGroupMember. То есть,
IsGroupMember: {Group}
это нонсенс. Проверяется, входит ли пользователь в группу, принадлежность к которой проверялась перед этим. В общем, замена не прокатывает.
imported
rvm19.09.2007 19:23
сразу после запуска плагинов TrafC перестает открываться страница с настройками правил.
В штатном режиме такого быть не должно. Но, для профилактики, скажите браузеру ходить на веб-итерфейс Eserv мимо прокси.

страница с отключенными картинками (чистый текст) грузится по 4-5-7 минут... при отключении TrafC проблема уходит...
Для локализации проблемы отключите все правила назначения каналов, и проводите проверки, последовательно подключая каждое следующиее правило (при этом перезапускать прокси не надо, достаточно F5 в браузере). После какого правила начинаются тормоза?

"IsGroupMember: {LGroup}";"{LGroup}::{LUser}_quota";

при условии что квоты будут называтсья как же как и группы пользователей
Дело в том, что из имени пользователя нельзя получить имя единственной группы, т.к. пользователь может входить в несколько групп. Поэтому, проверки на принадлежность каждой группе все-равно нужны. Как вариант, можно написать собственную функцию (например, MainGroupOfCurrentUser), и тогда задать назначение каналов одной строкой: "TRUE";"{MainGroupOfCurrentUser}::{LUser}_quota"
imported
Enotos20.09.2007 13:28
pig пишет: LGroup — точно нет такого слова. Group — определено в плагине groups_ext. Но оно заполняется в самом правиле IsGroupMember. То есть,
IsGroupMember: {Group}
это нонсенс. Проверяется, входит ли пользователь в группу, принадлежность к которой проверялась перед этим. В общем, замена не прокатывает.

А если так:
"IsGroupMember: TRUE";"{Group}::{LUser}_quota";

при условии что имя группы совпадает с именем класса квот... т.е. мне важно что бы он вообще принадлежал какой нибудь группе, и потом по имени группы определить ему канал через класс каналов...
imported
Enotos20.09.2007 13:33
rvm пишет:
сразу после запуска плагинов TrafC перестает открываться страница с настройками правил.
В штатном режиме такого быть не должно. Но, для профилактики, скажите браузеру ходить на веб-итерфейс Eserv мимо прокси.

страница с отключенными картинками (чистый текст) грузится по 4-5-7 минут... при отключении TrafC проблема уходит...
Для локализации проблемы отключите все правила назначения каналов, и проводите проверки, последовательно подключая каждое следующиее правило (при этом перезапускать прокси не надо, достаточно F5 в браузере). После какого правила начинаются тормоза?

"IsGroupMember: {LGroup}";"{LGroup}::{LUser}_quota";

при условии что квоты будут называтсья как же как и группы пользователей
Дело в том, что из имени пользователя нельзя получить имя единственной группы, т.к. пользователь может входить в несколько групп. Поэтому, проверки на принадлежность каждой группе все-равно нужны. Как вариант, можно написать собственную функцию (например, MainGroupOfCurrentUser), и тогда задать назначение каналов одной строкой: "TRUE";"{MainGroupOfCurrentUser}::{LUser}_quota"

  1. браузер и так ходит мимо прокси когда запускается на локалхост т.к. у меня отключен прокси для локального адреса.
  2. правила проверю — по есть подозрения что тормоза начинаются после добавления 4-го правила независимо то того что там написано, похоже на то что сильно много правил ему не нравиться... буду проверять точнее...
  3. У меня каждый пользователь входит только в одну группу. Мне важно проверить есть ли он вообще в какой нибудь группе и соответственно задать для него канал через класс каналов...
imported
Enotos20.09.2007 14:03
Вдогонку: сторка
"UID @ 0=";Disabled;

почему то позволяет зайти юзеру с левого IP. т.е. пользователь на компе 10.74.22.190 меняет себе айпишник на 10.74.21.190 и несмотря на то что ни не прописан ни в IP-MAC авторизации, ни в группах он тем не менее проходит через прокси... что для меня неприемлимо.
Грубо говоря есть список ИП\МАКов которым можно ходить в инет. Каждый из них соответствует конкретному юзеру. Этот юзер имеет 4 варианта доступа в инет определяемого принадлежностью к группе: no_inet min_inet normal_inet admin каждой группе соответствует класс квот
И НИКТО БОЛЬШЕ ЧЕРЕЗ HTTP проксер проходить не должен.
imported
Enotos20.09.2007 14:38
О ! еще прикол — щас заново переписал все правила —
"UID @ 0=";Disabled; заработала... нихрена не понимаю, единственное логическое объяснение что если есть ошибка в предидущем правиле, то правила не выполняются совсем... так ли это ?
imported
pig20.09.2007 15:54
Enotos пишет: единственное логическое объяснение что если есть ошибка в предидущем правиле, то правила не выполняются совсем... так ли это ?

Выполняются до ошибки.
imported
rvm20.09.2007 20:05
сразу после запуска плагинов TrafC перестает открываться страница с настройками правил
браузер и так ходит мимо прокси когда запускается на локалхост т.к. у меня отключен прокси для локального адреса.
А какая при этом нагрузка на прокси-сервер, сколько примерно юзеров серфит, или сколько запросов в минуту обрабатывается?

  1. Если есть ошибки типа опечаток, обычно ругань в главном лог-файле имеется (Eproxy.log).
  1. А рабочее решение чем не устраивает?
    "IsGroupMember: AAA";"AAA::{LUser}_quota";1 "IsGroupMember: BBB";"BBB::{LUser}_quota";1 [...]
    (в последнем поле 1 говорит о терминальности, чтобы другие правила не проверялись). Чтобы записать этот код короче, требуется написать свою функцию.
PS исправлена опечатка
imported
Enotos21.09.2007 06:59
pig пишет:
Enotos пишет: единственное логическое объяснение что если есть ошибка в предидущем правиле, то правила не выполняются совсем... так ли это ?

Выполняются до ошибки.

Буду иметь в виду на будущее...

rvm пишет:
сразу после запуска плагинов TrafC перестает открываться страница с настройками правил
браузер и так ходит мимо прокси когда запускается на локалхост т.к. у меня отключен прокси для локального адреса.
А какая при этом нагрузка на прокси-сервер, сколько примерно юзеров серфит, или сколько запросов в минуту обрабатывается?

  1. Если есть ошибки типа опечаток, обычно ругань в главном лог-файле имеется (Epoxy.log).
  1. А рабочее решение чем не устраивает?
    "IsGroupMember: AAA";"AAA::{LUser}_quota";1 "IsGroupMember: BBB";"BBB::{LUser}_quota";1 [...]
    (в последнем поле 1 говорит о терминальности, чтобы другие правила не проверялись). Чтобы записать этот код короче, требуется написать свою функцию.
Нагрузка — средненькая — активных стединений не больше 60... Юзеров обычно не больше 10 одновременно... всего юзеров около 50...
  1. в логах вроде все нормально, может не заметил чего...
  2. Переписал правила заново — как раз по типу "рабочего решения", как ни странно все работает и достаточно шустро... а странно потому, что те же правила, когда я их прописывал три дня назад работать не хотели ни в какую... т.е. типа все прошло само... это то и беспокоит — не дай бог опять этот геморой вылезет когда я в командировке буду — меня ж повесят за неработающий во всей конторе инет... буду наблюдать...
imported
Работает на Eserv/5.05555 (05.06.2016)