[sisyphus] подсчет траффика squid
Mike Lykov
=?iso-8859-1?q?combr_=CE=C1_vesna=2Eru?=
Ср Окт 27 10:20:27 MSD 2004
В сообщении от Среда 27 Октябрь 2004 10:33 Vladimir Lettiev написал:
> У меня пока тоже, но через aa.patch к сквиду можно в реальном времени
> снимать состояние закачек и появляется возможность прерывать
> пользователя не по факту закачки, а во время неё.
Лишний патч плох тем, что придется его вкрячивать в каждую новую версию
(вероятно, и с трудом).
Например, недавно нашли дыру в snmp. все сквиды обновили (из апдейтов или
сизифа). После чего надо качать исходники, смотреть, лезет ли туда этот патч,
корректно ли после этого сквид собирается, и корректно ли он работает
(собраться-то он может.. ;)
> Ответ простой - использовать LDAP. Несложный helper для сквида (пример
> которого был в аттачменте письма от Епифанова Сергея) проверяет
> состояние аккаунта в LDAP и запрещает доступ, когда это необходимо.
А если учесть, что у меня уже работает ntlm_auth (от самбы) ? оно по очереди
будут работать или одновременно? (если будут вместе вообще?)
> Но конечно в этом случае использование squidGuard становится возможным
> только для фильтрации. Перенаправление на страничку по факту исчерпания
> лимита сделать будет нельзя (простым способом).
И пользователи будут вместо "почему у меня доступ запрещен по такой-то
причине?" (на странице запрещения все по русски, да еще с советами) будут
спрашивать "ой, а почему у меня какая-то фигня пишется непонятноая и ничего
не работает"... когда пользователей много (сотни две-три, или больше) - это
может напрягать ;)
> Над решением этой проблемы я как раз и работаю, но серьёзной её не считаю,
т.к. сам факт работы системы на пониженых привилегиях и отсутствие постоянных
> reconfigure даёт значительно бОльший выигрыш.
squid, squidguard и хелперы все работают на пониженных привилегиях - от узера
squid итак.. ;) А изменения в доступах случаются не так уж часто, чтобы
замечать какой-то ущерб от reconfigure - пару раз в день у меня в
среднем.. ;)
> тоже вариант, но он локальный, а система может быть распределёной:
> apache и СУБД на разных хостах. Как на страничках веб-сервера тогда
> писать статистику по трафику?
тогда никак. но можно файлы по nfs/smb раздать.. ;)
> >>* использовать модуль perl-LDAP, вместо напрягания ldapsearch
> > у меня использует Net::LDAP для получения данных из win2000 active
> > directory (имена пользователей)
> Это собственно одно и тоже, просто я назвал имя пакета.
меня путает то, что есть еще один подобный модуль, из мозиллового проекта. и
называется он как раз perl-LDAP ;)
--
Mike Lykov
Samara, "Vesna" parfum company, System administrator
Подробная информация о списке рассылки Sisyphus