Omezovani provozu za proxy?

Zdeněk Drlík zdenek.drlik na seznam.cz
Čtvrtek Srpen 15 22:32:36 CEST 2002 

"Michal Kubecek" <mike na mk-sys.cz> píše v diskusním příspěvku
news:20020815220642.B17016 na kubecekserver.mk-sys.cz...
> On Thu, Aug 15, 2002 at 08:49:17PM +0200, Zdeněk Drlík wrote:
> >
> > Pokud bych to udelal pres delay pooly squida, tak kdyz jedna skupina
nebude
> > tahat nic, tak ta druha vic nez polovinu stejne nedostane. Kdyz to ale
> > udelam pres HTB, kde nastavim obema RATE polovinu rootovske tridy a
maximum
> > (CEIL) nastavim na celou rootovskou tridu, tak pokud jedna pulka
nepojede,
> > tak druha dostane celou kapacitu. To je asi lepsi reseni.
> > Otazka pro me spis je, jestli se umi proxy prizpusobit pri stahovani
> > rychlosti jakou to klient odebira. Takze kdyz mam vstupni linku 512kb a
>
> Spíš bych se zeptal na něco jiného: proč tam ta proxy vůbec má být?
> Protože pokud nemáte vážný důvod, proč ji používat, pak by asi bylo
> lepší vynechat ji úplně. Podle mých praktických zkušeností má proxy
> coby cache naprosto minimální efekt, z bezpečnostního hlediska taky
> žádná výhra - většina bezpečnostních chyb v MSIE (tak asi tři týdně
> :-)) funguje i skrz proxy, zbývá snad jedině možnost monitorovat a
> omezovat uživatele.
>
>                                                      Michal Kubeček
Naprosto s Vámi souhlasím a řešil bych to také bez této proxy, jenže jsem na
to trošku malý pán... :-( Naši správci sítě po mě chtějí pouze vyřešit toto
rozdělení kapacity (neb sami o nějakém QOS a linuxu vůbec nemají páru) a
proxy si drží zuby nehty. Pokud nebudu mít pádný důvod, kterým by mohla být
např. nesmyslnost omezovat provoz k uživatelům za touto proxy, tak tam ta
proxy zůstane.
Podle mě by to mohlo fungovat relativně podle představ tak, pokud by místo
se místo aplikační proxy použil pouze překlad adres a mezi firewall který by
překlad prováděl a uživatele se dal router s dvěma síťovkama mezi kterýma by
se forwardovaly pakety, kde na jednu by byla připojena síť uživatelů a
brzdil se na ní downstream, druhá síťovka by byla přímo do firewallu a
brzdil se na ní upstream. Jen potřebuji zjistit, jestli má cenu něco
takového dělat, pokud na firewallu zůstane ta aplikační proxy (ne squid, ale
WinRoute), tj. když uživatelé pojedou přes omezovací router na port např.
3128 proxyny, nebo jestli bude lepší snažit se to protlačit bez ní.
Díky za případné názory.

Zdenek

Další informace o konferenci Linux