Помогите новичку.
-
Приветствую.
Уточните, зачем Вам группы?
Для резания полосы пропускания канала используется настройки файрвола раздел limiter.
Лучше всего этот процесс описан здесь: https://knasys.ru/8-pfsense-%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%BA%D0%BE%D1%80%D0%BE%D1%81%D1%82%D0%B8-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5/
Но там авторизация по IP или МАС.
Что бы резать скорость средствами прохи-сервера штатных средств нет. Есть костыли через services - squid proxy server - general - advanced features - Custom ACLS(After Auth). Вот тут можно вставлять прямые настройки типа delay pool.
Если группы нужны для ограничения доступа к сайтам, то настраивайте squidguard. Там есть настройки в том числе и через группы. У меня заработало.
По-поводу скайпа не скажу. Наверняка что-то простое и банальное. Он у меня работает. Подсказки: Шлюзом по-умолчанию для компьютера должен быть внутренний адрес pfsense. В IE должна быть настройка на проксю. В ACLs - Allowed Subnets я добавил все свои сетки. Попробуйте поиграться с настройками соединения в скайпе.
SSL Man In the Middle Filtering не включал.
Удачи. -
Приветствую.
Уточните, зачем Вам группы?Здравствуйте.
Спасибо за ссылки.
Группы нужны так как существующие каналы без контроля 500 пользователей выгрызает канал полностью. Надо директорам, дать быструю скорость, кому реально нужен инет хорошую скорость, остальным по братский. Соответственно директор скорость надо конкретному пользователю а не компу за которым он в данный момент сидит. Можно конечно выдавать IP на циске по 802.1x но это гемор, еще тот и не готова инфраструктура.Второй вопрос.
Сейчас авторизация NTLM.
Т.е. в логах я вижу что пользователь такой пошел на такой сайт. Как-то так.
20.12.2016 14:50:35 x.x.x.x TCP_TUNNEL/200 s.ytimg.com:443 username 173.194.122.226
http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
Здесь указано что надо добавить в Далее дополнительные параметры external_acl_type (см. картинку)
Нужно ли это делать или сразу писать acl ad_inet1m external ldap_users InetUsers1m и он это съест?
Как правильно?заранее спасибо.
-
По ссылке описана настройка для старой версии pfsense и squid 2.7. У меня так когда-то работало.
Для новой версии надо писать примерно тоже самое в окно которое я указал: services - squid proxy server - general - advanced features - Custom ACLS(After Auth).
Пробуйте. Гугл в помощь.
Параметр external_acl_type nt_group %LOGIN /usr/libexec/squid/wbinfo_group.pl указывает где брать названия групп и он обязателен. Весь вопрос какой хэлпер брать.
Хэлперы лежат тут: /usr/local/libexec/squid.
Или использовать wbinfo_group.pl.
Пока сам с этим вопросом до конца не разобрался.
Резать тоже надо с умом. Может имеет смысл резать не по группам, а по типам файлов. Запрещать закачку музыки, видео, торрентов и т.п. А лучше отдельный канал для элиты Ж8-)) -
Резать тоже надо с умом. Может имеет смысл резать не по группам, а по типам файлов. Запрещать закачку музыки, видео, торрентов и т.п. А лучше отдельный канал для элиты Ж8-))
директор может и картинки качать и кино смотреть тут не угадаешь. :(
-
У кого нибудь получилось в итоге собрать ограничение скорости в AD по группам, а то все статьи старые. Валиться с squid при вводе в Custom ACLS(After Auth). Еще не понимаю какой хэлпер выбрать пробовал ext_ldap_group_acl но не удачно.
Может кто что подскажет? -
Доброе.
Попробуйте с Limiter-ом. Соберите ip в алиасы и резвитесь кому и сколько можно\надо. -
Можно конечно через ip, просто хотелось сделать без привязки ip или mac. Попробовал ограничивает. Но тут возник вопрос когда я вписываю в firewall правило ставлю нужный ip в in/out добавляю группу то получается так, что если пользователь уберет прокси то он будет иметь доступ без прокси, конечно же с ограничением по скорости. Как сделать так что бы было ограничение и если убрать прокси не было интернета как если бы было без правила ограничения трафика?
-
Доброго дня.
Не могу понять почему через прокси нельзя измерить скорость интернета к примеру на сайтах 2ip speedtest. Там что используются какие то порты которые закрыты firewall или что то ещё мешает протестировать скорость? -
А это:
https://fast.com/
работает? -
да работает.
