Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Интернет на терминальном сервере, мониторинг и контроль траффика.  (Прочитано 3306 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Есть терминальный сервер. Есть интернет на нем. (не впн, инет идет с сети напрямую). Надо ограничить скорость и мониторить траффик. Как это реализовать на одном компе? Обычно все продукты ориентированы на контроль сетевых пользователей (по ай или как-то еще) А когда это все происходит на том же компьютере?


Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
squid
http://linuxadmin.melberi.com/2010/07/squid-delay-pools-howto.html
Я читал немного про squid, разве он не работает как прокси? т.е. по сетевым пользователям. Мне надо чтобы можно было ограничивать скорость ЛОКАЛЬНЫХ пользователей. Это возможно? Если да, то можно ли в нем хранить историю перемещений по интернету отдельных пользователей? Я знаю программы, которые в общем могут ограничить скорость интернета для всего компа, ну там допустим ограничим 200 КБ/сек. Сидят на серваке 3 пользвателя. И тут какой-нибудь Вася поставить торрент на закачку. Он скушает весь выделенный канал в 200 КБ/сек. Пользователи не сетевые. Они созданы на самом сервере. А люди подключаются к нему при помощи терминала free nx.

ЗЫ ОС 12.04.02 LTS

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Там есть несколько вариантов аутентификации:
http://wiki.squid-cache.org/Features/Authentication

Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Там есть несколько вариантов аутентификации:
http://wiki.squid-cache.org/Features/Authentication

Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service
Спасибо. Почитаю, сообщу если что получится

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Вообщем воткнул squid3 и sams2 на сервак. С nsca аутентификацией пока разбираюсь, но как понял там будет файл на серве с паролями. Ну ладно к нему я могу запретить доступ. Но остается одно НО. Это прокся. Мне надо чтобы люди могли выходить в инет только с сервака. Что им мешает вбить настройки прокси на своих рабочих машинах в винде и лазить в инете?=)

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28377
    • Просмотр профиля
... Тебе что предложили? А ты что выдумываешь?
Сам себе проблемы создаёшь, а потом героически их решаешь.
Да и потом, ну, вобьют... дальше то что? Под своими реквизитами будут работать же, не под чужими.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Остальной трафик можно прибить так:
http://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service
Идею уловили?
Нет :D там написано, о применении правил iptables, но я не понимаю как мне это поможет не дать заходить с локальной сети на проксю. =)) применить правила на squid?

... Тебе что предложили? А ты что выдумываешь?
Сам себе проблемы создаёшь, а потом героически их решаешь.
Да и потом, ну, вобьют... дальше то что? Под своими реквизитами будут работать же, не под чужими.
А дальше то что, зачем мне тогда вообще терминал сервер?=) тогда поставил бы сразу проксю и все пусть радуются=) лицензия на каспер даже есть=) но начальнику этого мало же. Под линухом более безопасно. Никто не должен иметь доступа в интернет, кроме тех кто заходит на терминальный сервер. Это обязательное условие. Моя бы воля, так и сидели бы все на ВПН =)))
« Последнее редактирование: 18 Июня 2013, 22:10:33 от Lord Vampire »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Мне надо чтобы люди могли выходить в инет только с сервака. Что им мешает вбить настройки прокси на своих рабочих машинах в винде и лазить в инете?=)
1) заставить squid слушать только localhost
2) дропнуть исходящий трафик, если юзер не root/squid/etc.
3) на шлюзе разрешить форвард трафика только с сервака

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Мне надо чтобы люди могли выходить в инет только с сервака. Что им мешает вбить настройки прокси на своих рабочих машинах в винде и лазить в инете?=)
1) заставить squid слушать только localhost
2) дропнуть исходящий трафик, если юзер не root/squid/etc.
3) на шлюзе разрешить форвард трафика только с сервака
1) не знаю как сделать=)
2) вот этим? --sid-owner SID - SID (идентификатор сессии) производится проверка SID пакета, значение SID наследуются дочерними процессами от "родителя".
3) понятно=)

Ой там скорее --uid-owner UID - UID программы пославшей пакет. уид же идентификатор юзера запустившего программу как я понял.
« Последнее редактирование: 18 Июня 2013, 22:37:15 от Lord Vampire »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
1) не знаю как сделать=)
Читайте про hostname тут:
http://www.squid-cache.org/Doc/config/http_port/
Либо средствами iptables.

2) вот этим? --sid-owner SID - SID (идентификатор сессии) производится проверка SID пакета, значение SID наследуются дочерними процессами от "родителя".
Цитата: iptables -m owner --help
--uid-owner userid[-userid]      Match local UID
--gid-owner groupid[-groupid]    Match local GID

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Спасибо за помощь, завтра покопаюсь. Вечером сообщу результаты :)

Оффлайн Lord Vampire

  • Автор темы
  • Новичок
  • *
  • Сообщений: 45
    • Просмотр профиля
Извиняюсь за задержку. Возникли проблемы, я намудрил малость, пришлось переустанавливать систему (сервер тестовый). Поставил все заново. Настроил кальмара. Только не на локалхост, а на 127.0.1.1 - локальный адрес машины. Все работает. С других компьютеров теперь зайти на прокси не могут. Но последняя проблема теперь вот в чем=) Дело в том что заходит вот человек на сервер - открывает браузер. Заходит в его настройки, убирает галочку напротив графы "прокси-сервер" и интернет ему побежит напрямую, без пароля и прочих ограничений и слежки=) не каждый конечно до этого додумается, но дыра огромная. Никто не знает где находиться файл настроек файрфокс? Если я кину на него рутовые права можно ли будет запускать фаерфокс обычному пользователю? Или есть какой-то другой способ для ограничения доступа к настройкам фаерфокс. Буду очень признателен.

ЗЫ или подскажите где ответят мне на этот вопрос, если здесь никто не знает. :'(
ЗЫЫ или может есть какой плагин на него, который позволяет блокировать настройки паролем.
« Последнее редактирование: 21 Июня 2013, 12:22:50 от Lord Vampire »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28377
    • Просмотр профиля
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.071 секунд. Запросов: 25.