Регистрация...

Eserv Forum / E3 / Eproxy 3 Support / Собственно пара вопросов по функционалу при миграции с иных

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
Здравствуйте.

Поскольку мигрирую на Eserv/Eproxy (точнее PigMail/PigProxy) с иных прокси то насобиралось несколько вопросов, которые больше связаны с "есть ли такое в E(Pig) вообще и как реализовать"

1) Один и тот же польз. (ACL) может заходить с 2-ух разных МАС-ов
(авторизация ИП+МАС) Можно ли прописать 2 МАС-адреса для
одного пользователя? если авторизация только по МАС+ИП
Где ?

2) Как задать пользователю время активности?
Скажем
  • для пользователя User1 с 8:00 до 18:00
  • для пользователя User2 с 18:00 до 6:00
  • для пользователя User3 с 8:00 до 18:00 только с понедельника по пятницу
  • для пользователя User4 только 4,5,6,15 числа месяца
В ТрафС вроде такого функционала нет.
Тогда как ?

3) как разделить отдельно для пользователя, что например
  • HTTP,FTP он может использовать, а Socks -нет
  • на FTP у него 64К скoрость, а на HTTP — 48K
  • HTTP он может использовать только с 8 до 12 часов, а FTP — с 13 до 15
  • Socks — каждый парный час, HTTPS — только в 8,11,15 и т.п. на протяжении 1 час, 15 минут, 2 часа соответственно.
4) можно ли подсчитвать трафик пользователя за определенный промежуток времени (скажем 10мин., 1 час, 1 сутка) и в соответствии с политикой на следующий промежуток выставлять иную скорость, иной приоритет ?

5) проясните что такое класс канала в ТрафС.

6) Что лучше пользовать совместно с проксей для резки/изменения рекламмы и прочего контента ? Пользовал Проксомитрон и Фокси.
Или есть уже придуманный плагинчик какой ?
Также интересует возможность на лету менять/подправлять загружаемые HTTP страницы/
C ходу в Есерве такого не нашел — есть чистый бан по ИПах рекламмы и т.п. А подправление — вроде дело уже не Есерва. Но все же

7) Ситуация такая: Все (или выбранные со списка) пользователи, которые авторизированы по ИП+МАС при использовании HTTPS должны авторизироваться на проксе под пользователем HTTPS_User с паролем. Как сделать?
 
Комментарии к этой версии (13.03.2009 15:02) [~inf24] 945d8adb
АвторДатаТекстtags
pig13.03.2009 15:59
  1. Да, можно. Внесите две строки с разными MAC в список IpMacAuth.txt
  1. Пока только в ACL соответствующего сервиса.
  2. Для User1 запись в поле Время:
    08:00-18:00
    Для User2 отработает такая запись в поле Правило:
    TimeInterval: 06:00-18:00 0=
    Для User3 запись 08:00-18:00 в поле Время и дополнительно в поле Правило:
    DayOfWeek: 1-5
    Для User4 простого решения нет, надо подумать.
  1. Это точно через ACL сервисов, собирая правила и назначая Band-каналы.
  1. Имеется в виду — динамически менять настройки? Не реализовано. И в ближайшее время не ожидается, для этого надо списки в базу данных утаптывать, тексты сложно точечно править из программы.
  1. Как в ООП — шаблон для создания реального экземпляра канала.
  1. ACL в плане резки рекламы хорошо рулит, только подавай ему списки хостов/урлов. Изменение содержимого — у меня не реализовано. Я так понимаю, что вам не абы как, там надо парсер HTML/XML/ещё-чего-нибудь прикручивать.
  1. С ходу загрудняюсь, но с помощью правила, по-моему, можно сделать. Надо в код внимательно поглядеть.
  2. P.S. IMHO, обычная парольная авторизация, индивидуальная для каждого пользователя, даёт лучший контроль над ситуацией. Хотя это кому как.
imported
inf2413.03.2009 16:28
pig пишет: 1. Да, можно. Внесите две строки с разными MAC в список IpMacAuth.txt


понял. Вот только не будет ли прокся ошибаться, если я ей для двух МАС-ов в двух строчках напишу User1 и User1

pig пишет:
  1. Пока только в ACL соответствующего сервиса.
  2. Для User1 запись в поле Время:
    08:00-18:00
    Для User2 отработает такая запись в поле Правило:
    TimeInterval: 06:00-18:00 0=
    Для User3 запись 08:00-18:00 в поле Время и дополнительно в поле Правило:
    DayOfWeek: 1-5
    Для User4 простого решения нет, надо подумать.
а не можно ли таких пользователей обьединить в группу и писать правило для группы, а не для каждого отдельного пользователя?

pig пишет:
  1. Это точно через ACL сервисов, собирая правила и назначая Band-каналы.
Вы имеете ввиду CONF.pigmail\lists\http\ACL.txt и подобные ?
А Band-каналы здесь причем?

pig пишет:
  1. Имеется в виду — динамически менять настройки? Не реализовано. И в ближайшее время не ожидается, для этого надо списки в базу данных утаптывать, тексты сложно точечно править из программы.
Да — я именно имею ввиду динамическое изменение настроек.Ы....ых — жаль. База ж статистики ведется.
pig пишет:
  1. Как в ООП — шаблон для создания реального экземпляра канала.
не понял — можно примерчик

pig пишет:
  1. ACL в плане резки рекламы хорошо рулит, только подавай ему списки хостов/урлов. Изменение содержимого — у меня не реализовано. Я так понимаю, что вам не абы как, там надо парсер HTML/XML/ещё-чего-нибудь прикручивать.
ACL — мне напоминает SQUID-овый файлик-аналог.Что-ж с резкой разберусь.А вот парсером как каскадным прокси для Есерва скорее всего будет старый-добрий Проксомитрон.
pig пишет:
  1. С ходу загрудняюсь, но с помощью правила, по-моему, можно сделать. Надо в код внимательно поглядеть.
  2. P.S. IMHO, обычная парольная авторизация, индивидуальная для каждого пользователя, даёт лучший контроль над ситуацией. Хотя это кому как.
Я имею ввиду вот что:
Кроме назначенных стандартных сервисов пользователям — скажем только HTTP если пользователь хочет FTP? то пусть авторизуется(или вводит строку авторизации в FTP клиент) Но чтобы это было не так, как бы любой пользователь, который ввел соответствующий логин и пароль имел FTP-сервис, а по правилу только тот, кому прописано доступ через ИП+МАС.
Тоесть, если ты авторизован по ИПу+МАС-у, то если ты еще авторизируешся под польз. + паролем, то получишь дополнительный сервис. В этом примере имеется ввиду фактически авторизация ИП+МАС + логин+пароль — все последовательно.
Но если ты ввел логин+пароль для FTP-сервиса, но твоего МАС+ИП нету в списке — гуляй.

8) а нельзя ли в "Список пользовательских наборов каналов" сразу группу пользователей вбивать ?
imported
inf2413.03.2009 17:21
pig — а почему в ПигПрокси не видно

...TrafC/ru/menu/rules_list.html и еще много чего ?

И как вообще сделать гибрид Епрокси/Есерв морды с ПигПрокси/..Серв мордой.
А то как-то получается в админской консоли Пига-а не видно того, что есть в Есерве/Епрокси
Тоесть урезанная морда получилась — не хорошо
PigProxy — Расширения прокси-сервера — кроме расширений убранны нужные меню Епрокси. Или я ошибаюсь

Из-за этого и встал 1-ый вопрос
imported
pig13.03.2009 17:51
Того, что не видно, в моём конфиге вообще нет. RulesList убраны, поскольку назначение каналов делается в ACL.

  1. Ошибаться не будет
  1. Да, конечно, можно в условии группу задать
  1. ACL у меня и на TrafC тоже работает
  1. Статистика пока отдельно. В принципе, изваять робота, который что-то такое посчитает (по какой угодно статистике, хоть по всем сразу) и по результатам отредактирует указанную ему строку списка, — вполне реально. Просто требует времени, которого...
  1. Сочиняем класс, например, такой (Band для простоты):
  2. Band-private;1000;IN;1
    В ACL при назначении канала (по действию EN) пишем в поле Параметр:
    Band-private::{LUserEmail}-Band-private
    Когда эта строка срабатывает, пользователю vasja из домена авторизации mydomain.local назначается канал vasja@mydomain.local-Band-private. При первой попытке, когда такого канала ещё нет в системе, он создаётся с характеристиками, взятыми из класса каналов Band-private.
  1. Я примерно так и понял. Фишка в том, что учётные записи общего пользования очень быстро становятся полностью общедоступными. И самое смешное, что с их помощью можно будет обходить ограничения, выданные по IP+MAC. Потому что парольная авторизация перебьёт ранее сделанную IP+MAC. Разве что писать правила ограничения с использованием конкретных значений IP и MAC, а это будет сильно громоздко.
inf24 пишет: нельзя ли в "Список пользовательских наборов каналов" сразу группу пользователей вбивать ?

Это в UserCanalsList? Нет, это ACL на просмотр статистики использования квот конкретным пользователем. Web-интерфейс никаких групп там не предполагает. Хотя дописать, конечно, можно... но надо тогда и в автопополнение лезть — значит, просить автора TrafC о переделках.
imported
inf2413.03.2009 19:54
pig пишет:


Почему при изменении полосы пропускания для конкретного канала в
"Список Band-каналов ограничителя трафика TrafC" у пользователя не наблюдается изменение скорости, например, скачивания большого файла, а стоит та скорость, которая была первой (до изменения)?

Тоесть если пользователь качал файл со скоростью 16КБ, то если ему поставить 160Кб, ему всеравно не дает тянуть файл с такой скоростью, а тянет он, как прежде 16Кб.
Где грабли?
imported
pig14.03.2009 03:21
Каналы неизменны. Как создались (при запуске сервера или при первом вызове), так и стоят. By design. Поменять набор каналов на уже установленном соединении тоже не получится.
imported
inf2414.03.2009 12:23
pig пишет: Каналы неизменны. Как создались (при запуске сервера или при первом вызове), так и стоят. By design. Поменять набор каналов на уже установленном соединении тоже не получится.


И все же — как тогда вручную один и тот же канал изменить?
Где он пишет себя?
Если же низя — то это неприпустимая халтура в балансировщике (или недоработка) или почему так — не понимаю

Тогда это как пожелание на доработку функционала, по-моему, ТрафС

Пример: Назначен канал Band_Std_Kb_Unlim=32000 количеству пользователей 150-160.
При изменении скорости канала все пользователи получают пропорционально. Таким методом можно регулировать средн. нагрузку на исходный канал.
Конечно за Band-all никто не пойдет, но.

Вопрос:
9) есть ли реализация в ТрафС плавающей скорости каналов каждого отдельно взятого пользователя в зависимости от того, насколько занят суммарный канал.
Тоесть я имею ввиду изменение СРS каналов пользователей или аналогичное что-то, чтобы исходная band-All полоса использовалась максимально.
Например такая реализация плавающих каналов (плавающего CPS) во времени реализована в BSB — BandSpeedBalancer -e
Также изменять CPS именованного канала можно в CCProxy
Вот мне и не верится, что такого невозможно реализовать в Ваших
(а теперь и я ими пользуюсь) продуктах.

Можно это отнести в Книгу пожеланий.
Эсть также много иных идей и пожеланий к разработчикам, но вопрос в желании это внедрять при, с моей точки зрения, существующей целесообразности.
imported
Работает на Eserv/5.05555 (05.06.2016)