[sisyphus] Квотирование http-proxy сервера

[Marat Khairullin]

On Fri, 23 Jan 2004 17:18:54 +0300
Epiphanov Sergei <serpiph на entek.ru> wrote:

> В сообщении от 23 Январь 2004 13:57 Низамов Шавкат написал:
> > > Кто-нибудь такой проблемой занимался?
> >
> > на opennet.ru недавно только было обсуждение способа квотирования
> > squid через mysql. но он обладает таким же недостатокм как и все
> > ранее предложенные - ограничивает пользователя после отработки
> > запроса, а не до.
> 
> Я пока надумал такую схему: 
> 1) Создать программу-редирект или external-acl, которая бы
> регистрировала, кто лезет в инет в данный момент
> 2) Перенаправить логи squid в файл fifo
> 3) Создать программу-часть iptables через libipq, которая бы
> отслеживала соединения squid наружу и по логам от squid и
> программы-редиректа отслеживала бы, кто лезет в инет и рубила бы, если
> что, соединение. 2а) Подправить squid, чтобы сначала он говорил, для
> кого он лезет наружу, а потом бы уже лез. Или: после создания socket с
> внешним миром говорил бы, кто, с кем, через какой сокет на локальном
> компе он установлен. Перебор в 100 байт - не проблема.

Быстро решить эту задачу (на коленках) можно с помощью модуля quota из
iptables. Нужно хранить конфиг с квотами и утилиты изменения квот.
Трафик режется на подходе к сквиду.
Из минусов - не учитывается кэш сквида, но это минус для пользователей,
а не для фин. отдела. :)