аналог керио под линукс

А гуглить пробовал?

Лучше всего поставить прозраный сквид и для него налепить правил

Как тут уже сказали можно сквид с плагинами поставить. Но если ты спрашиваешь про керио, то лучше всё же Уиндовс.

нет, виндовс не вариант. Я спросил реализацию в линуксе. спассибо

Ну если у тебя клиенты за натом, не сложно написать правила дропающие трафик к каким-то ресурсам. Ну или таки сквид как более полный аналог.

список сайтов очень огромный, средствами iptables как-то не очень удобно получается. Такой вопрос. Сквидом можно ограничивать скорость, контролировать торрент и т. д. ?

> Сквидом можно ограничивать скорость,

да

http://linuxnews.ru/docs/squid.html

контролировать торрент и т. д. ?

нет

Ну да, есть даже возможность подключать внешние средства анализа на потребность резки (как самописные так и имеющиеся готовые).

контролировать торрент и т. д. ?

нет

Я такого не делал, но не понимаю почему это вдруг?!

Как сквид сможет пропустить через себя торрент?

По-моему только связь с трекером. Для соединения с пирами нужно NAT, если таки хочется разрешить торренты получается нужен ещё и iptables ну и что-то дабы шейпить. Хотя если дело доходит до таких потребностей как прокся с огромным список запретов, то в 99% случаев будет желание торренты вырезать вообще как класс.

В том то и дело, что сквид это только http, https и ftp (и то, последние два только непрозрачный). А толку ограничивать скорость доступа до трекера не очень много.

Надо ли ему ограничивать торренты - он не сказал.

> http, https и ftp

Даже почту уже придётся пускать в обход.

Надо ли ему ограничивать торренты - он не сказал.

В том то и дело, я «контролировать» понял как резать к чертям, это же дефолтно.

Даже почту уже придётся пускать в обход.

Nat для нужного ip-port задача тривиальная, и нужно только если почтовый сервис внешний.

интересная информация. спасибо. получается сквид не может работать с торрентам?

По крайней мере средствами сквида статистику трафика и ограничение скорости для почты уже не получишь.

Сквид - прокси сервер для http. А что ты собираешься делать с торрентами? Может выложишь полный и понятный список критериев, будет проще что-то советовать.

По крайней мере средствами сквида статистику трафика и ограничение скорости для почты уже не получишь.

А оно вообще надо?! Оо

Насколько мне известно, зарезать торренты задача вообще нетривиальная. Типа, они проходят через любой незакрытый порт и зафлуживают, а выделить именно их пакеты для ограничения скорости в общем случае возможности нет.

Ну тут техзадания так и сформулировано, пока :)

почтовый сервер внешний.

Торрент не запрещать я хотел а контролировать скорость. У меня юзеры любят качать с трекерав. А рубить торрент на мертво - не красиво. Поэтому, хотел ограничить им всем скорость.

Открыть для них определёный порт для NAT, в клиент сабж обычно можно указывать явно. Дальше шейпить отдельный порт вроде не трудно.

Если есть сквид то разделить www и порренты уже легко, сквид на шлюзе исходящий а порренты проходящий. Если порты почты, например, выделить и пустить без ограничений, то возможно что-то похожее и получится. Но это уже tc.

> в клиент сабж обычно можно указывать явно.

Ты так доверяешь своим пользователям? :)

Тогда рекомендую iptables + squid. Сквидом контролишь главное (по крайней мере для большинства) http. Для почты или просто сделай маскарад портов (iptables) smtp/imap/pop3 или даже на конкретные узлы. Для торрентов открой какой-то порт и шейпь его, не забуть ограничить максимум коннетов для хоста, если в идеале то лучше нормальный нат и каждому пользователю торрентов выдать свой порт для торрентов.

У пользователя только возможность заюзать вполне определённый порт, не хочешь не юзай его, но торрентов ты не получишь :)

Спасибо.

Что имею

Имею примерно 90 рабочих станций, за ними коммутатор, за коммутатором мой сервер он же(локальный шлюз)(на данный момент установлен win 2003 + керио вин роут). Настроен запрет на сайты, фильтр по фразам, ограничение скорости на скачивание"torrent и проч. файла обменники.

Цель Сделать всё тоже самое на linux. C дистам определился, с iptables разобрался. Остался сквид

А, остальные закрыть, да. Но тогда и указывать по идее не надо, само найдёт.

Они, кстати, через порты для http и smtp не полезут?

> Остался сквид

аналог керио под линукс (комментарий)

Плюс произвольный редиректор.

Ну сквидом ты только http можешь нормально управлять, зато очень еффективно особенно если в связке со свидгуардом. А для файло-обмеников достаточно определиться со списком используемых протоколов (и портов которые под это открывать), открываем эти порты да шейпим на них скорости.

http порт закрыт, а smtp и остальный почтовые можно жосто зашейпить (и то на случай наличия особо умных, на практике такие встречаются редко), сие много скорости не требует. Список портов для фалобмеников тоже шейпить, у них смотрю всё довольно либерально, потому не вижу нужды в тоталитарном контроле куда заюзаны порты, если они зашейпены.

ЗЫ я так понимаю почта какя-то вполне определёная, значит можно разрешить маскарад только для вполне определённого списка серверов по почтовым портам.

Обычно в случае торрентов поступают от противного — загоняют http/pop/smtp-трафик в каналы шейпера с высоким приоритетом, а всё остальное идёт по остаточному принципу. Кури tc.

А блочить неугодное нужно iptables'ом.

Ему надо контролить http, огромными списками. Потому свида таки нужна. В остальном да, я то же самое и предлагаю.

Тогда плюсую прозрачный сквид.

Прозрачный не пропустит https и ftp.

это почему?

Рискну предположить, что это из-за того, что для ftp нужно два порта.

Ну точных причин я сейчас не назову, но по факту так. У https вроде что-то там с авторизацией связано, а у ftp даже не помню.

Минус в том, чтобы проходить по всем машинам настраивая. Но можно попробовать указать «брать настройки из сети» (только как это использовать и что для этого надо сделать - я не в курсе).

А если прозрачный нужен для того, что бы пользователи не просекли что их через прокси гонят, то рано или поздно это всё равно всплывёт в любом сообщении об ошибке.

прозрачный не обязательно.

главная цель добиться результатов. блокировать необходимые урл., и контролировать скачивание юзеров.

У Калошина (по ссылке) лучшая статья по настройке сквида, что я знаю.

А, да, по статистике. Применял парсер логов lightsquid, мне понравилось.

http://linuxnews.ru/docs/squid.html это? Спасибо я читаю. Но и этот помоему тоже неплохо. http://www.opennet.ru/base/net/squid_inst.txt.html только немного сложновато.

У Калошина мне понравилось то что он приводит ровно столько информации сколько нужно, ничего не упуская и не давая ничего лишнего. Такая подача информации это очень большое достоинство. И далеко не всегда такое есть.

Привет.

такой вопрос. после установки сквида, нужно редактировать сквид.конф а куда там все настройки писать? не имеет значение место расположения?

Насколько я знаю, например acl обрабатываются по мере прохождения. Лучше найти соответствующее место.

Если править конфиг по умолчанию, с его комментариями, то для его чтения может помочь следующее регулярное выражение:

grep «^[^#]» filename