[sisyphus] подсчет траффика squid

Mike Lykov =?iso-8859-1?q?combr_=CE=C1_vesna=2Eru?=
Ср Окт 27 10:20:27 MSD 2004 

В сообщении от Среда 27 Октябрь 2004 10:33 Vladimir Lettiev написал:

> У меня пока тоже, но через aa.patch к сквиду можно в реальном времени
> снимать состояние закачек и появляется возможность прерывать
> пользователя не по факту закачки, а во время неё.

Лишний патч плох тем, что придется его вкрячивать в каждую новую версию 
(вероятно, и с трудом).
Например, недавно нашли дыру в snmp. все сквиды обновили (из апдейтов или 
сизифа). После чего надо качать исходники, смотреть, лезет ли туда этот патч, 
корректно ли после этого сквид собирается, и корректно ли он работает 
(собраться-то он может.. ;)

> Ответ простой - использовать LDAP. Несложный helper для сквида (пример
> которого был в аттачменте письма от Епифанова Сергея) проверяет
> состояние аккаунта в LDAP и запрещает доступ, когда это необходимо.

А если учесть, что у меня уже работает ntlm_auth (от самбы) ? оно по очереди 
будут работать или одновременно? (если будут вместе вообще?)

> Но конечно в этом случае использование squidGuard становится возможным
> только для фильтрации. Перенаправление на страничку по факту исчерпания
> лимита сделать будет нельзя (простым способом).

И пользователи будут вместо "почему у меня доступ запрещен по такой-то 
причине?" (на странице запрещения все по русски, да еще с советами) будут 
спрашивать "ой, а почему у меня какая-то фигня пишется непонятноая и ничего 
не работает"... когда пользователей много (сотни две-три, или больше) - это 
может напрягать ;)

> Над решением этой  проблемы я как раз и работаю, но серьёзной её не считаю, 
т.к. сам факт работы системы на пониженых привилегиях и отсутствие постоянных
> reconfigure даёт значительно бОльший выигрыш.

squid, squidguard и хелперы все работают на пониженных привилегиях - от узера 
squid итак.. ;) А изменения в доступах случаются не так уж часто, чтобы 
замечать какой-то ущерб от reconfigure  - пару раз в день у меня в 
среднем.. ;)

> тоже вариант, но он локальный, а система может быть распределёной:
> apache и СУБД на разных хостах. Как на страничках веб-сервера тогда
> писать статистику по трафику?

тогда никак. но можно файлы по nfs/smb раздать.. ;)

> >>* использовать модуль perl-LDAP, вместо напрягания ldapsearch
> > у меня использует Net::LDAP для получения данных из win2000 active
> > directory (имена пользователей)
> Это собственно одно и тоже, просто я назвал имя пакета.

меня путает то, что есть еще один подобный модуль, из мозиллового проекта. и 
называется он как раз perl-LDAP ;)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator

Подробная информация о списке рассылки Sisyphus