[Comm] Re: лимиты на ширину канала

" KoLyA " =?iso-8859-1?q?kolyag_=CE=C1_mail=2Eru?=
Ср Сен 3 16:43:27 MSD 2003 

 
 
-----Original Message----- 
From: Alexey Starinsky <staa -at- tavrida -dot- com> 
To: "Alexandr R. Ogurtzoff" <community на altlinux.ru> 
Date: Wed, 3 Sep 2003 15:21:27 +0300 
Subject: Re[2]: [Comm] Re: лимиты на ширину канала 
 
> 
>>> Ладно, видимо, это одельный разговор и только за деньги, если на 
>>> вопрос о возможном решении рассказывается в _самых_общих_чертах_ 
>ARO>  Да нет конечно, просто люди пытались понять твою задачу поэтому и уточняют  
>ARO> задают наводящие вопросы, спросил б с чётко сформулированым ТЗ получил бы  
>ARO> более конкретные ответы ;-) 
> 
>Наверное, естественно было бы начать с доменной системы 
>аутентификации, дабы виндовые юзвери тоже могли бы поработать. 
>Хотя, зачем нужна именно доменная система, честно говоря, не знаю. 
> 
>Например, на работе под мастдаевой системой у нас так: 
> 
>1)) Есть домен. Каждый юзер может: 
>1a) залогиниваться на любой машине 
>1б) читать свою почту 
>1в) получить доступ в инет 
> 
>2)) 
>2a) Траффик насчитывается на его логин (а не IP), 
>2б) соответственно, по логину же выдаются и лимиты на канал 
> 
>(не считая, есс-но общих приоритетов одного контента над другим: 
>например юзера с общими правами имеют приоритет по ширине канала на 
>выкачавание *.html в 4 раза выше, чем, скажем, на *.mp3) 
> 
>Понимаю, что п.1а - делается отдельно при помощи LDAP (не знаю, 
>поддерживается ли LDAP в виндах, не узнавал) 
>1б - при помощи nfs (ящики на сервере) 
>1с и 2a - при помощи squid 
> 
>Как сделать 1а+1б+1с и одновременно сделать 2б - неясно. 
>Ещё неплохо, чтобы юзеру при смене его пароля не нужно было бегать админу и менять 
его в пяти 
>местах :) 
> 
 
я где-то видел хау-ту самба+iptables. идея такая:  
настроен нат + на всю сеть стоит reject. 
при входе юзера в домен с какой-то машины создается правило для этой машины (ip 
адрес), где уже можно задать ограничение трафика. соответственно при logoff 
удаляется. 
что-то в таком духе. я особо не копал, а сделал фтп+хттп прокси, на сквиде delay_pools, 
оставив открытым почтовый трафик и закрыв все остальное, типа icq. 
 
еще вариант: под линуксом в вмварь грузить win2000 ( в боевых условиях - нормально.) 
самба - pdc, win2000 - член домена, в ней стоит isa и больше ничего. при этом физически 
конект идет с линукса, в нем же файрволл.  
виртуальная машина имеет два виртуальных ethernet - один host-only (забирать трафик с 
линукса), а второй bridged - отдавать в локалку.

Подробная информация о списке рассылки community