Интернет на терминальном сервере, мониторинг и контроль траффика.

[Lord Vampire]

Есть терминальный сервер. Есть интернет на нем. (не впн, инет идет с сети напрямую). Надо ограничить скорость и мониторить траффик. Как это реализовать на одном компе? Обычно все продукты ориентированы на контроль сетевых пользователей (по ай или как-то еще) А когда это все происходит на том же компьютере?

[ArcFi]

squid
http://linuxadmin.melberi.com/2010/07/squid-delay-pools-howto.html

[Lord Vampire]

squid
http://linuxadmin.melberi.com/2010/07/squid-delay-pools-howto.html

Я читал немного про squid, разве он не работает как прокси? т.е. по сетевым пользователям. Мне надо чтобы можно было ограничивать скорость ЛОКАЛЬНЫХ пользователей. Это возможно? Если да, то можно ли в нем хранить историю перемещений по интернету отдельных пользователей? Я знаю программы, которые в общем могут ограничить скорость интернета для всего компа, ну там допустим ограничим 200 КБ/сек. Сидят на серваке 3 пользвателя. И тут какой-нибудь Вася поставить торрент на закачку. Он скушает весь выделенный канал в 200 КБ/сек. Пользователи не сетевые. Они созданы на самом сервере. А люди подключаются к нему при помощи терминала free nx.

ЗЫ ОС 12.04.02 LTS

[ArcFi]

Там есть несколько вариантов аутентификации:
http://wiki.squid-cache.org/Features/Authentication

Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service

[Lord Vampire]

Там есть несколько вариантов аутентификации:
http://wiki.squid-cache.org/Features/Authentication

Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service

Спасибо. Почитаю, сообщу если что получится

[Lord Vampire]

Вообщем воткнул squid3 и sams2 на сервак. С nsca аутентификацией пока разбираюсь, но как понял там будет файл на серве с паролями. Ну ладно к нему я могу запретить доступ. Но остается одно НО. Это прокся. Мне надо чтобы люди могли выходить в инет только с сервака. Что им мешает вбить настройки прокси на своих рабочих машинах в винде и лазить в инете?=)

[ArcFi]

Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service

Идею уловили?

[AnrDaemon]

... Тебе что предложили? А ты что выдумываешь?
Сам себе проблемы создаёшь, а потом героически их решаешь.
Да и потом, ну, вобьют... дальше то что? Под своими реквизитами будут работать же, не под чужими.

[Lord Vampire]

Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service

Идею уловили?

Нет там написано, о применении правил iptables, но я не понимаю как мне это поможет не дать заходить с локальной сети на проксю. =)) применить правила на squid?

... Тебе что предложили? А ты что выдумываешь?
Сам себе проблемы создаёшь, а потом героически их решаешь.
Да и потом, ну, вобьют... дальше то что? Под своими реквизитами будут работать же, не под чужими.

А дальше то что, зачем мне тогда вообще терминал сервер?=) тогда поставил бы сразу проксю и все пусть радуются=) лицензия на каспер даже есть=) но начальнику этого мало же. Под линухом более безопасно. Никто не должен иметь доступа в интернет, кроме тех кто заходит на терминальный сервер. Это обязательное условие. Моя бы воля, так и сидели бы все на ВПН =)))

[ArcFi]

Мне надо чтобы люди могли выходить в инет только с сервака. Что им мешает вбить настройки прокси на своих рабочих машинах в винде и лазить в инете?=)

1) заставить squid слушать только localhost
2) дропнуть исходящий трафик, если юзер не root/squid/etc.
3) на шлюзе разрешить форвард трафика только с сервака

[Lord Vampire]

Мне надо чтобы люди могли выходить в инет только с сервака. Что им мешает вбить настройки прокси на своих рабочих машинах в винде и лазить в инете?=)

1) заставить squid слушать только localhost
2) дропнуть исходящий трафик, если юзер не root/squid/etc.
3) на шлюзе разрешить форвард трафика только с сервака

1) не знаю как сделать=)
2) вот этим? --sid-owner SID - SID (идентификатор сессии) производится проверка SID пакета, значение SID наследуются дочерними процессами от "родителя".
3) понятно=)

Ой там скорее --uid-owner UID - UID программы пославшей пакет. уид же идентификатор юзера запустившего программу как я понял.

[ArcFi]

1) не знаю как сделать=)

Читайте про hostname тут:
http://www.squid-cache.org/Doc/config/http_port/
Либо средствами iptables.

2) вот этим? --sid-owner SID - SID (идентификатор сессии) производится проверка SID пакета, значение SID наследуются дочерними процессами от "родителя".

--uid-owner userid[-userid]      Match local UID
--gid-owner groupid[-groupid]    Match local GID

[Lord Vampire]

Спасибо за помощь, завтра покопаюсь. Вечером сообщу результаты

[Lord Vampire]

Извиняюсь за задержку. Возникли проблемы, я намудрил малость, пришлось переустанавливать систему (сервер тестовый). Поставил все заново. Настроил кальмара. Только не на локалхост, а на 127.0.1.1 - локальный адрес машины. Все работает. С других компьютеров теперь зайти на прокси не могут. Но последняя проблема теперь вот в чем=) Дело в том что заходит вот человек на сервер - открывает браузер. Заходит в его настройки, убирает галочку напротив графы "прокси-сервер" и интернет ему побежит напрямую, без пароля и прочих ограничений и слежки=) не каждый конечно до этого додумается, но дыра огромная. Никто не знает где находиться файл настроек файрфокс? Если я кину на него рутовые права можно ли будет запускать фаерфокс обычному пользователю? Или есть какой-то другой способ для ограничения доступа к настройкам фаерфокс. Буду очень признателен.

ЗЫ или подскажите где ответят мне на этот вопрос, если здесь никто не знает.
ЗЫЫ или может есть какой плагин на него, который позволяет блокировать настройки паролем.

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=223202.msg1730642#msg1730642