Бордюрный вопрос

[Мещеряков Андрей]

Представь - пользователь подсоединился к BM по модему 33.6, он что весь канал займет?

Если канал к прову 33.6 - весь Только чаще бывает обратное: к ВМ цепляемся по сотке, а к прову-только 512кБит в лутшем случае .

[Владимир Горяев]

Если канал к прову 33.6 - весь Только чаще бывает обратное: к ВМ цепляемся по сотке, а к прову-только 512кБит в лутшем случае .

А теперь представь - шейпер ограничил сотку до 33.6 или как ты захотел...

[Мещеряков Андрей]

А теперь представь - шейпер ограничил сотку до 33.6 или как ты захотел...

Коли он сотку ограничил - ничего не изменится . Потому как заказы этого пользователя ВМ потащит со скоростью 512... А мне надо, что бы при любой активности этот юзверь более 10% внешнего канала не занимал Это программа минимум... Максимум - при загрузке великих файлов его вообще динамически урезали до 1-5 %, что б неповадно было

[RuStn]

А решения так и нет...
Задача то порезать на выходе до прокси, а после ее к пользователю уже будет с ограничением. Вопрос в том, чтоб резать трафик, не положено ему больше 10 кил/с, не лезь, а то срежу до 10 байт/с.
Подскажите какие продукты, примочки к бордюру прикрутить можно...

[Владимир Горяев]

Уже поступают заказы на беты TSE. Понимаю народ, хочется попробовать, а триальную новую версию не так-то просто получить (мне например надоело формы разные заполнять, и ни ответа ни привета). Выложу куда-нибудь, если администрация форума не будет против можно и на местный архив. О! а ен тут ужо имеется http://novell.org.ru/files/Programms/Misk/Sniffer/
На сайте продукта есть ролики с примерами, посмотрите, почитайте доку, форум тамошний, многое проясниться.

[Ковалев Артем]

Решение есть, только оно зовется не Border Manager и вообще в его названии слова Novell нет. Ставь squid - там есть средства ограничения пользователя по ширине канала. Или ставь Checkpoint FW - там есть динамический трафик шейпер, лучший на сегодня.

[aMario]

Чтож будем пробовать бету, а не бета тут
ttp://www.trafficshaper.com/binaries/TSE3.2.0.zip

[RuStn]

to Ковалев Артем
Может не совсем топ ты (Вы) прочитал(ли), задача в том, что стоит Novell и надо все для него!
Люди ждем решений, ну очень надо...

[Lab]

Господа, некто Gonzalo собирает пожелания пользователей для версии 3.9.
Не всем безразлична судьба проекта, давайте выскажем наши пожелания.

Мне не хватает:
1. Онлайн монитора активности. (да, есть у Куличкина, но он нужен встроенный)
2. Онлайн монитора входящей активности/атак.
3. Возможности ограничивать скорость пользователю. (есть сторонние решения, но сам не видел/пробовал ни разу)
4. Доделать майл прокси до уровня, что б к. Джонсон хотя бы убрал свое мнение о том, что он предпочитает не пользоваться этим

А чего вам не хватает?


С сайта к. Джонсона
"Please email Gonzalo at gonzalo.morera@gmail.com with a list of improvements that you want. Whether or not all features requested make it into 3.9 depends a lot on the amount of engineering resources it will require, but dream big at this point!"

[Мещеряков Андрей]

Господа, некто Gonzalo собирает пожелания пользователей для версии 3.9.
Не всем безразлична судьба проекта, давайте выскажем наши пожелания.

Мне не хватает:
1. Онлайн монитора активности. (да, есть у Куличкина, но он нужен встроенный)
2. Онлайн монитора входящей активности/атак.
3. Возможности ограничивать скорость пользователю. (есть сторонние решения, но сам не видел/пробовал ни разу)
4. Доделать майл прокси до уровня, что б к. Джонсон хотя бы убрал свое мнение о том, что он предпочитает не пользоваться этим

А чего вам не хватает?


С сайта к. Джонсона
"Please email Gonzalo at gonzalo.morera@gmail.com with a list of improvements that you want. Whether or not all features requested make it into 3.9 depends a lot on the amount of engineering resources it will require, but dream big at this point!"

Мое мнение по поводу того, что ему не хватает - просто. Надо взять ТТХ на MS ISA и воспроизвести его функционал от корки до корки Наверняка все, что надо там будет. И в тех объемах, каких это реально надо В добротности постановки задачи этому супостату не откажешь

[Иван Левшин aka Ivan L.]

Мещеряков Андрей - почитал я тут твою полемику с Горяевым... А ведь ты неправ, Борис! (с) Хотя и Владимир тоже неправ

1. Андрей неправ в том, что не совсем правильно, ИМХО, трактует роль траффикшейпера. TSE - по сути мощный пакетный фильтр. Обрабатывающий пакеты с любого из уровней OSI. То, что человеку надо (насколько я понял - надо дать Васе Пупкину полосу в 1 кило/с, Пете Иванову - 10), решается обработкой пакетов ДО прокси, направленных на порт прокси и имеющий на седьмом уровне хттп или фтп.

2. Бета TSE не умеет работать с пользователями. Насколько я понял, индус собирался сделать это только в платной версии. Вероятно, теперь там все это есть.

[Мещеряков Андрей]

Мещеряков Андрей - почитал я тут твою полемику с Горяевым... А ведь ты неправ, Борис! (с) Хотя и Владимир тоже неправ

1. Андрей неправ в том, что не совсем правильно, ИМХО, трактует роль траффикшейпера. TSE - по сути мощный пакетный фильтр. Обрабатывающий пакеты с любого из уровней OSI. То, что человеку надо (насколько я понял - надо дать Васе Пупкину полосу в 1 кило/с, Пете Иванову - 10), решается обработкой пакетов ДО прокси, направленных на порт прокси и имеющий на седьмом уровне хттп или фтп.

2. Бета TSE не умеет работать с пользователями. Насколько я понял, индус собирался сделать это только в платной версии. Вероятно, теперь там все это есть.

И где же это я не прав? Допустим, что TSE установлен ДО прокси и фльтрует пакеты, направленные на порт прокси. Но - пакеты эти подписаны уже прокси, а не юзверем, и TSE, даже умеющий работать с юзверями, их рулить не будет. Т.к. только прокси знает, чьим заданием они порождены. Прав я или нет? Поэтому шейпер должен быть частью самого прокси...

[Dimerson]

Господа, некто Gonzalo собирает пожелания пользователей для версии 3.9.
Не всем безразлична судьба проекта, давайте выскажем наши пожелания.

Мне не хватает:
1. Онлайн монитора активности. (да, есть у Куличкина, но он нужен встроенный)
2. Онлайн монитора входящей активности/атак.
3. Возможности ограничивать скорость пользователю. (есть сторонние решения, но сам не видел/пробовал ни разу)
4. Доделать майл прокси до уровня, что б к. Джонсон хотя бы убрал свое мнение о том, что он предпочитает не пользоваться этим

А чего вам не хватает?


С сайта к. Джонсона
"Please email Gonzalo at gonzalo.morera@gmail.com with a list of improvements that you want. Whether or not all features requested make it into 3.9 depends a lot on the amount of engineering resources it will require, but dream big at this point!"

Отпишите Гонзало что не хило было бы добавить в фунцкионал NAT работу MS PPTP Клиента через него пускать ... я уж чуть было Fickin Proxy на платформу NLM не портировал .

Слава богу что нонче Western Union живет по HTTPS ;o)

Может и не надо - NAT Travesal пролазит ...

А вот BM 3.8 Server не может жить через нат - тут бы не мешало доработать - добавить возможность работы с инкапсуляцие в UDP (Nat Travesal).

[grd]

Пускаем инет через BorderManager v3.8 есть несколько вопросов...
1. Как можно организовать ограничение скорости потока для конкретных пользователей?
2. Как устанавливать лимиты на трафик на сутки\неделю\месяц?
3. Как мониторить юзеров, юзающих BorderManager в реальном времени?

Какие есть рещения и подходы к реализации данных задач?

Сам попал в аналогичную ситуацию....
Сейчас пробую связку:
INET<------>BM3.8<----->UserGate<------>LocalUser
По задумке
BM3.8 - защита от внешних дураков
UserGate - от внутренних + 1),2),3)
Пока не получается (не хватает знаний..... )

[Vladimir Elnikov_]

А теперь представь - шейпер ограничил сотку до 33.6 или как ты захотел...

Коли он сотку ограничил - ничего не изменится . Потому как заказы этого пользователя ВМ потащит со скоростью 512... А мне надо, что бы при любой активности этот юзверь более 10% внешнего канала не занимал Это программа минимум... Максимум - при загрузке великих файлов его вообще динамически урезали до 1-5 %, что б неповадно было

Если забыть слово юзер и заменить его на ЛЮБОЙ пользователь или BM.
Получаем -
BM, обслуживая один запрос не имеет возможности занять более 10% канала
В правила TSE
IP BM any port <- any IP any port ограничение по к/б в сек
(т.е. одно соединение не быстрее чем ограничение)
+
IP BM <- any IP ограничение по к/б в сек
(т.е. ВСЕ соединения от ВМ до одного внешнего IP не быстрее чем ограничение) для качальщиков download manager-ами
+
IP BM <- не полный IP 3 знака к примеру ограничение по к/б в сек
(т.е. ВСЕ соединения от ВМ до любой сети 255.255.255.0 не быстрее чем ограничение) для качальщиков download manager-ами с зеркальных серверов в пределах
и т.д
заканчиваем
IP BM <- без разницы что ограничение не БОЛЬШЕ ШИРИНЫ КАНАЛА
(лучше резать полосу у себя, алгоритмов отброса пакетов в TSE хватает, можно и свой сочинить)

Далее загрузка больших файлов - что это? Соединение длящееся больше какого-то времени и получающее данные на максимальной для одиночного соединения скорости.
Считаем ограничение*время = объем
BM IP any port <- any IP any port квоты - если соединение за минуту, скажем, получило предельное количество байт - зарезать скорость на час, два (см. примеры и доки у Боба на сайте),
аналогичные правила для
BM <- IP
BM <- подсеть
только минут побольше и байт тоже

Такое деление вполне демократичное и позволит прижать людей, стремящихся злоупотреблять интернетом.