Packetshapping per User

[sammy2ooo 10]

Hallo zusammen,

 

wir haben hier 3x W2k Terminalserver mit Citrix Metaframe im Einsatz. Die Benutzer (~160) gehen über eine 6Mbit ADSL (600K Upstream) Leitung ins Internet. Einige Benutzer müssen Bilder, etc. in CMS hochladen und blockieren so innerhalb kürzester Zeit den ganzen Internettraffic. Der gesamte Inettraffice wird über einen (lokalen) HTTP Proxy geleitet. Wie kann ich nun ein per-User Packetshapping machen ohne gleich den ISA Server kaufen zu müssen?

 

Wäre für jeden Tip oder Link dankbar.

 

Grüsse,

Matze

[zahni 554]

Was ist das denn für ein Router ? Normalerweise sollte der das doch können.

 

-Zahni

[sammy2ooo 10]

es handelt sich um einen Linuxrouter (Astaro) natürlich kann der QoS, allerdings bringt mir das nichts wenn ich den Traffic per User prorisieren will...

[zahni 554]

Ich meine "Traffic Shaping" und nicht Qos. Schau mal hier:

 

"Traffic Shaping" Astaro - Google-Suche

 

Bei SQUID kann man sowas machen:

 

Access Control and Access Control Operators - Squid User's Guide

 

-Zahni

[sammy2ooo 10]

Mir ist bekannt, dass man mit Squid und Astaro ein Traffic Shaping machen kann, nur eben nicht benutzerbezogen. Es sei denn ich könnte eine HTTP-Proxy Authentification am Proxy machen lassen und diesen dann entsprechend einschränken...,.

[zahni 554]

Mann kann das ciher auch global und/oder auf Basis der IP-Adresse machen.

 

-Zahni

[sammy2ooo 10]

das Problem ist die SBC Umgebung, d.h. 3 IP adressen für 160 User, siehst du das Problem???

[sammy2ooo 10]

gibt es einen Opensource HTTP Proxy für Windows 2000 der Traffic Shaping erlaubt?

[zahni 554]

Der Router sollte eigentlich auch unterschiedliche Verbindungen von der selben IP-Adresse erkennen. Die laufen ja über unterschiedlichs Ports. Jetzt verlassen wir aber meine Spezialgebiete, sorry. Probiere es im Router doch einfach mal aus.

 

-Zahni

[sammy2ooo 10]

jo, danke für deine Antworten. Allerdings kann der Proxy diese Verbindungen dann keinem User zuweisen...

[substyle 20]

Ähm leute, ich sehe jetzt nicht wo das Problem sein soll.

Squid kann defenitiv User über ein AD authentifizieren

"SMB" & "MSNT" sind seit langem unterstützt, ein Shaping

das auf ACLs basiert ist damit doch leicht einzurichten

 

Ich persönlich arbeite noch mit smb_auth, das funzt super.

 

P.S.: Es gibt das Modul squid_ldap_auth, mit dem man transparent

über eine ADS authentifizieren kann. Damit spart man sich dann den

Umweg über das SMB/CIFS, den man mit ntlm_auth nehmen muss.

 

subby

[sammy2ooo 10]

merci für deine Antwort, könntest du mir deine Config posten???

[substyle 20]

HiHo, bin gerade aus der Firma gekommen, also vor Montag

geht da nichts, aber ich würde an deiner Stelle mal über

google suchen ...

 

Grundsätzlich lautet der Syntax:

 

squid_ldap_auth -b "base DN" [-u attribute] [options] [ldap_server_name[:port]|URI]... squid_ldap_auth -b "base DN" -f "LDAP search filter" [options] [ldap_server_name[:port]|URI]...

 

Lies einmal das manpage zu squid_ldap_auth und dann

vielleicht Squid Portal Forum :: Forum anzeigen - ACL's

 

Hier wird dir sicher gut geholfen!

 

subby

[sammy2ooo 10]

Hallo substyle,

 

mit wievielen Benutzern betreibst du diesen Proxy? Ein in einer Testumgebung eingerichteter SQuid Proxy, der die Benutzer transparent am AD authentifiziert performt hier ziemlich schlecht...liegt evtl auch daran, dass er in einer VM lauft. Was hast du fuer Festplatten in der Kiste? Raid?