[sisyphus] подсчет траффика squid

Vladimir Lettiev =?iso-8859-1?q?crux_=CE=C1_syktsu=2Eru?=
Ср Окт 27 10:57:23 MSD 2004 

Mike Lykov wrote:
> В сообщении от Среда 27 Октябрь 2004 10:33 Vladimir Lettiev написал:
> 
>>У меня пока тоже, но через aa.patch к сквиду можно в реальном времени
>>снимать состояние закачек и появляется возможность прерывать
>>пользователя не по факту закачки, а во время неё.
> 
> Лишний патч плох тем, что придется его вкрячивать в каждую новую версию 
> (вероятно, и с трудом).

А этот патч включён в сборке squid для Sisyphus:

-----------------------------------------------------------------------
23 июля 2004 Konstantin Timoshenko <kt at altlinux.ru> 2.5.STABLE6-alt1

* 2.5.STABLE6
* Official bugfixes from www.squid-cache.org.
* add patch-aa.patch: makes squid write info in access.log by pieces as 
far as the receipt of data but not after downloading whole file. See -x 
options.
-----------------------------------------------------------------------

>>Ответ простой - использовать LDAP. Несложный helper для сквида (пример
>>которого был в аттачменте письма от Епифанова Сергея) проверяет
>>состояние аккаунта в LDAP и запрещает доступ, когда это необходимо.
> 
> А если учесть, что у меня уже работает ntlm_auth (от самбы) ? оно по очереди 
> будут работать или одновременно? (если будут вместе вообще?)

Тут надо вспонить знаменитое AAA. ntlm_auth - это аутентификация. acl (и 
данный helper) - авторизация, т.е. они не пересекаются и работают 
совместно (в том порядке, в котором они указанны в конфиге).

>>Но конечно в этом случае использование squidGuard становится возможным
>>только для фильтрации. Перенаправление на страничку по факту исчерпания
>>лимита сделать будет нельзя (простым способом).
> 
> И пользователи будут вместо "почему у меня доступ запрещен по такой-то 
> причине?" (на странице запрещения все по русски, да еще с советами) будут 
> спрашивать "ой, а почему у меня какая-то фигня пишется непонятноая и ничего 
> не работает"... когда пользователей много (сотни две-три, или больше) - это 
> может напрягать ;)

Да есть такая фишка :( Но я ж говорю, выход ищется. Скорее всего через 
deny_info, там можно всё разрулить.

>>т.к. сам факт работы системы на пониженых привилегиях и отсутствие постоянных
>>reconfigure даёт значительно бОльший выигрыш.
> 
> squid, squidguard и хелперы все работают на пониженных привилегиях - от узера 
> squid итак.. ;) А изменения в доступах случаются не так уж часто, чтобы 
> замечать какой-то ущерб от reconfigure  - пару раз в день у меня в 
> среднем.. ;)

А у меня 'squid -k reconfigure' исполнялся раз сто на дню: лаборанты 
включали/выключали интернет в классах через веб-морду... Вобщем 
избавившись от root suid-скриптов я вздохнул с облегчением.


-- 
С уважением, Владимир Леттиев aka crux <crux на syktsu.ru>

Подробная информация о списке рассылки Sisyphus