Limitar Hilos de Descarga en Squid

[hugo]

Es extraño que no funcione el ejemplo que puse. Para detallar un poco más lo que se pretende:

http_access allow extensiones !maximo (Permitir el acceso a las extensiones listadas siempre y cuando no se alcance el límite de conexiones por cliente)
http_access deny extensiones maximo (Denegar el acceso a las extensiones listadas cuando se alcance el límite de conexiones por cliente)
http_access allow redlocal !extensiones (Permitir sin límite de conexiones por cliente el acceso desde la red local a todo menos a las extensiones listadas)
http_access deny all (Denegar todo lo demás)

Quizás habría que colocar la segunda regla antes de la primera, pero en general creo que esto debería funcionar tal cual.

[Yordy]

Código: Seleccionar todo

##----------------------------------------------------------------------------##
##----------------- CONFIGURACIÓN DEL SERVIDOR PROXY COLOMBIA ------------------##
##----------------------------------------------------------------------------##
##-- Puerto TCP por donde escucha SQUID --##
http_port 3128

##- Puerto UDP para los ICP -##
icp_port 3130

##-CACHE PADRE EL (LAS TUNAS)-##
cache_peer 192.168.159.210 parent 3128 3130 login=dmecolombia:col1224SL no-query default no-delay no-digest

##-PASEO DE IDA Y VUELTA PARA EL MÁS RECIENTE ICP-##
icp_query_timeout 100
dead_peer_timeout 120 seconds

##-CONFIGURACION PARA LOS PATRONES (URL) QUE NO DEBEN SER CACHEADOS-##
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# OPTIONS WHICH AFFECT THE CACHE SIZE
cache_mem 16 MB

##-ESPACIO DISPONIBLE EN EL DISCO QUE MANTINE LA MEMORIA OCUPADA-##
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB

##- RESERVA DE CACHE -##
ipcache_size 1024
ipcache_low 90
ipcache_high 95

##-CANTIDAD DE ALMACENAMIENTO EN EL DISCO DURO-##
cache_dir ufs /var/spool/squid 700 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
debug_options ALL,1

## OPCIONES PARA ACCEDER A LOS FTP ANÓNIMOS
ftp_user luzmin@co.lt.rimed.cu
ftp_passive on
ftp_sanitycheck off

##- TIEMPO DE BUSQUEDA DE DNS -##
dns_timeout 30 seconds
dns_nameservers 192.168.7.3

##-MÉTODOS DE AUTENTIFICACIÓN PARA LOS USUARIOS-##
auth_param basic children 5
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/reglas/passwd
auth_param basic realm Autentifíquese en [colombia.rimed.cu]
auth_param basic credentialsttl 2 hours

##- SE SUGIERE RECOMENDADO -##
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
client_db on

##-TIEMPO MÁXIMO PARA UNA CONEXIÓN (TCP)-##
connect_timeout 10 seconds
read_timeout 30 minutes
request_timeout 10 seconds
peer_connect_timeout 20 seconds
ident_timeout 20 seconds

##--------------------------------------------------------------------##
##------------------- DEFINIENDO INTERFACES DE REDES -----------------##
##--------------------------------------------------------------------##
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 563 873
#acl SSL_ports port 443 563 873
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 631		# cups
acl Safe_ports port 873		# rsync
acl Safe_ports port 901		# SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl CONN_LIMIT maxconn 1

acl local url_regex \.lt\.rimed\.cu
always_direct allow local
##--------------------------------------------------------------------##
##--------------------- Lineas de control de acceso ------------------##
##--------------------------------------------------------------------##
acl full proxy_auth '/etc/squid/reglas/full'
acl medios proxy_auth '/etc/squid/reglas/medios'
acl intranet proxy_auth '/etc/squid/reglas/intranet'

##--------------------------------------------------------------------##
##--------------------- AQUI LOS SITIOS A PERMITIR  ------------------##
##--------------------------------------------------------------------##
acl sitios_permitidos url_regex '/etc/squid/reglas/sitios_permitidos'
acl sitios_nacionales url_regex '/etc/squid/reglas/sitios_nacionales'

##--------------------------------------------------------------------##
##--------------------- AQUI LAS RESTRICCIONES -----------------------##
##--------------------------------------------------------------------##
acl sitios_deny url_regex '/etc/squid/reglas/sitios_deny'
acl palab_deny url_regex -i '/etc/squid/reglas/palab_deny'
acl deny_nac url_regex '/etc/squid/reglas/deny_nac'
acl magic_words urlpath_regex -i \.exe$ \.mp3$ \.vqf$ \.tar\.gz$ \.tar$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.wav$ \.wma$ \.wmv$ \.mpg$ \.mpeg$ \.ace$ \.pdf$ \.cab$ \.swf$ \.iso$ \.img$ \.chm$ \.mov$ \.wav$ \.kar$ \.zno$ \.dat$
acl para_listos urlpath_regex \.[0-9]{3}$ \.[a-zA-Z][0-9[0-9]$
acl worm urlpath_regex -i .eml$
acl SQUISHED1 proxy_auth -i "/etc/squid/squished"

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

##--------------------------------------------------------------------##
##------------------ LISTA DE CONTROL DE ACCESOS ---------------------##
##--------------------------------------------------------------------##
http_access allow local
http_access allow sitios_permitidos
http_access allow full !sitios_deny !palab_deny !SQUISHED1
http_access allow medios !sitios_deny !palab_deny !deny_nac sitios_permitidos !worm !SQUISHED1
http_access allow intranet !para_listos !sitios_deny !palab_deny !deny_nac sitios_nacionales !worm !SQUISHED1
http_access deny SQUISHED1
deny_info http://proxy.jo.lt.rimed.cu/?squished& SQUISHED1
http_access deny all

http_reply_access allow all

##- HACER REPLICAS DE LA NAVEGACIÓN -##
http_reply_access allow all
icp_access allow all
miss_access allow all

##-E-MAIL DEL ADMINISTRADOR DE LA CACHÉ-##
cache_mgr luzmin@co.lt.rimed.cu

##-USUARIOS CON EL QUE SE EJCUTARÁ EL PROCESO SQUID-##
cache_effective_user proxy
cache_effective_group proxy

##-NOMBRE PARA MOSTRAR EN CASO DE ERROR O PROBLEMAS-##
visible_hostname proxy.colombia.rimed.cu

# logfile_rotate 0
client_db on

##-NO PERMITIR SALIR DIRECTO-##
never_direct allow all

##-UBICACIÓN DEL DIRECTORIO DE ERRORES-##
error_directory /usr/share/squid/errors/Spanish

##-INFORMACIÓN que brinda el SQUID VIA (SNMP)-##
snmp_port 3401
snmp_access deny all
snmp_incoming_address 0.0.0.0
snmp_outgoing_address 255.255.255.255

##-DIRECTORIO DE DESCARGA-##
coredump_dir /var/spool/squid

##-REDUCE LOS FILES DECRIPTORS USADOS-##
client_persistent_connections on
server_persistent_connections on
ie_refresh off

[KZKG^Gaara]

Explica el motivo por el cual no solo pones tooooda tu configuración de Squid (cosa que NADIE te ha pedido), sino que además la repites? ...

[fVckingmania.hell]

estas haciendo algun tipo de ataque al foro o que? man este hilo solo es de limitar hilos para la descarga, no de configurar el squid completo. Tienes que revisar tus post para que concuerden con el hilo porque me parece que casi todos tus post no son muy acordes.

[hugo]

Por si o por no, ya eliminé los otros posts y puse el primero entre etiquetas code.
Por favor Yordi, que no se repita que sueltas un bloque tan largo sin usar las etiquetas, duele a la vista. Y tampoco dupliques tus posts.

Edición:
Colegas, quizás Yordi malentendió la solicitud que le hicieron de poner su configuración pensando que se referían a la configuración completa y no solamente a la parte relevante en este asunto. No seamos tan duros con el.

[EsTOpArK]

@yordy lei la configuracion de arriba a abajo y solo veo declarada la acl acl CONN_LIMIT maxconn 1 pero no veo cuando la usas despues??? . Creo que no es una buena idea publicar toda la configuracion del squid y menos con el passwd de tu proxy padre.
Saludos
pd: repetir un post = mount /dev/KZKG^Gaara

[hugo]

EsTOpArK, prueba con esta variación un poco más explícita (y con diferente orden de reglas) de mi ejemplo anterior:

Código: Seleccionar todo

acl redlocal src 192.168.0.0/16
acl maximo maxconn 3
acl extensiones url_regex -i "/path/extensiones"
http_access allow redlocal !extensiones
http_access allow redlocal extensiones !maximo
http_access deny redlocal extensiones maximo
http_access deny all

[EsTOpArK]

Hugo ya probe la configuracion que posteastes y funciona, ahora el problema que tengo es el siguiente, ya el squid me limita las descargas a 3 conexiones pero si estoy descargando una extension sin restricciones (descarga1.pdf) a 4 hilos e intento hacer una descarga controlada (descarga2.mp3) me la deniega, hasta que no ponga a (descarga1.pdf) a 2 hilos. No se si me entiendes, es decir el maximo de conexiones simultaneas es 3 para las controladas, entonces el usuario pepe hace una peticion, si cumple la condicion de extension no controlada permite infinitas conexiones (ejemplo 4 conexiones), mientras esta descarga este activa hace una nueva peticion y cumple con la condicion de extension controlada entonces solo se puede descargar la segunda si la primera no esta ocupando las 3 conexiones (ejemplo 2 conexiones), es decir la configuracion limita a 3 conexiones al usuario pepe cuando una de sus descargas cumple con la condicion de extension controlada que no es lo esperado, es decir lo esperado es que la descarga controlada sea la unica que tenga limitantes (ejemplo descarganocontrolada.zip 6 hilos y descargacontrolada.avi 3 hilos simultaneamente).
Saludos

[hugo]

Asi es como debe funcionar, de lo contrario el control del máximo de conexiones pierde su objetivo. En todo caso, nada te impide subir un poco el límite y en ese caso podrás descargar más cosas simultáneamente. Al administrar una red uno a veces debe tomar decisiones de este tipo y la mejor solución suele ser encontrar algún compromiso entre funcionalidad y rendimiento.

Otra variante sería utilizar los delay pools para limitar no la cantidad de conexiones simultáneas de los usuarios, sino la tasa de transferencia de datos. Pero esto no debería tratarse en este tema y además no tengo mucha experiencia al respecto.

[EsTOpArK]

Gracias Hugo por tu ayuda,tambien tengo implementado los pools delays, si alguna vez necesitas ayuda con eso me contactas.
Saludos y gracias a todos.