Freesco, NND, CDN, EOS

Właśnie zauważyłem, że user ściąga mi dane z prędkością 70KB/s, a ja pobieram plik exe (niebieski pasek postępu a więc clamav-dansguardian skanuje). Jak ściągnie to wystawia komunikat scanned i wystawia link z plikiem do pobrania.

Po pierwsze mam wrażenie, że że plik ściągany jest 2 razy (najpierw przez dansguardiana później przez usera) i zastanawiam się czy tak być powinno (plik z drugiego linku moim zdaniem powinien ściągnąć się błyskawicznie z keszu squida, dobrze myślę?).

Druga sprawa - zdaje się, że niceshaper stracił swoje właściwości - user ściąga mi dane z prędkością 70KB/s, a ja (clamav) pobiera w tym czasie plik z prędkością 13KB/s.

Maszyna z dansguardianem nie jest ujęta w pliku users niceshapera. Muszę się temu przyjrzeć bliżej.

Raczej odpowiednio powinieneś użyć opcji "do not shape local" no i ja bym maszynie z dansguardianem dał dużo więcej niż innym. Jeśłi np user 1 ściąga pocztę z dużym załącznikiem, user 2 ściaga plik z ftp a userzy 3,4,5 oglądają strony, a każdy komp w sieci ma takie samo dynamicznie przydzielane pasmo, to ci korzystający z dansguardiana dostaną razem 1/3 zamiast każdy 1/5 czyli 3/5.

_________________
Belfer.one.PL
Audio Cafe

Logistycznie najlepszym rozwiązaniem byłby brak limitu dla hosta z dansguardianem (zapewne linia do not shape local 192.168.0.2 with 192.168.0.0/24 w config albo być może brak wpisu dla hosta w users - choć nie pamiętam jak to było przy braku wpisów czy nie bierze wtedy hosta pod uwagę (brak limitu), czy przydziela mu domyślny transfer wg chwilowych możliwości sieci) a limitować tylko transfery hostów użytkowników. Pytanie tylko czy niceshaper na maszynie A ma szanse interpretować "transfer użytkownika" jako ruch pomiędzy hostem a dansguardianem na maszynie B? Czy też (gorsza opcja) nie będzie w ogóle "widział" tego transferu pomiędzy hostem a dansguardianem (maszyną B), a będzie w stanie zobaczyć co najwyżej transfer pomiędzy dansguardianem (sumaryczny transfer użytkowników) a routerem (maszyną A)?

Teoretycznie ruch odbywa się na drodze host -> router (maszyna A) -> dansguardian (maszyna B) -> router (maszyna A) -> NET. Więc teoretycznie niceshaper powinien mieć możliwość wyłapania ruchu już na etapie host -> router (maszyna A) i na tej podstawie dzielić pasmo. Wówczas odpadłyby wszelkie problemy. Pytanie - czy jest to możliwe w taki sposób. Ale tu to już zapewne twórca samego niceshapera musiałby się wypowiedzieć (?) Choć z drugiej strony... on przecież nie limituje pasma wewnątrz sieci, a tylko ruch do i z internetu... i tu jest potencjalny problem. Musiałoby się to dziać trochę inaczej. Niceshaper musiałby "postrzegać" za pasmo użytkownika zarówno "zewnętrzny" ruch host -> internet, jak i "wewnętrzny" ruch host -> dansguardian. Innymi słowy ruch host -> dansguardian musiałby przestać być interpretowany jako nielimitowany (do not shape local) ruch "wewnętrzny" i zacząć być traktowany na takich samych zasadach jak ruch "zewnętrzny". Ciekawe czy jest szansa na wdrożenie takiego triku. To już pewnie też pytanie / sugestia dobre dla... samego twórcy Niceshaper-a...

PS. Czy powinienem dodać czerwoną linijkę?



Czy też może linia do not shape local 192.168.0.1 with 192.168.0.0/24 załatwia sprawę całej podsieci 192.168.0.x?

Generalnie, to oczywiście router może chcieć kontrolować ruch pomiędzy hostami, ale czy one go będą słuchać, to nie byłbym taki pewny. Ta dodatkowa linijka nie jest potrzebna.
Problem jest w czym innym. Shapery zwykle tną łącze aby zapewnić równy dostęp użytkownikom. W twoim przypadku 192.168.0.2 nie może mieć równego dostępu. Wydaje się, ze należałoby mu dać specjalne uprawnienia. Zagospodaruj plik users tak, aby wszystkie pozostałe hosty miały bez dansguardiana najwyżej połowę wartości łącza, daj niewielką wartość parametru low, a dla hosta z dansguardianem przeznacz całe łącze oraz low na połowę wartości.
To takie moje teoretyczne wymysły. Tego niestety nie da się przećwiczyć na Virtualboxie.

_________________
Belfer.one.PL
Audio Cafe

PS. Tak na dobrą sprawę "problem" niceshaper+proxy dotyczy zarówno sytuacji gdzie proxy jest na tej samej maszynie jak i sytuacji w której zrealizowany jest na oddzielnej maszynie. Popraw, jeśli się mylę.

Niezupełnie. Dyrektywa do not shape local zapewnia szybkie działanie proxy na routerze. Tak przynajmniej powinno to działać i do tego zostało skonstruowane.

_________________
Belfer.one.PL
Audio Cafe