[ dendic @ 12.10.2014. 13:09 ] @
U LAN mrezi sa 100 korisnika primjetim uvece povecan saobracaj za 20-tak procenata.Pretpostavljam da je u pitanju ono automatsko ukljucivanje video sadrzaja na facebook-u i tad mi je link na maksimumu par sati. Jel neka vrsta proxy servera rjesenje i kakva masina se preporucuje da prevazidjem zagusenje?
[ vladared @ 12.10.2014. 20:54 ] @
Zavisi šta tačno želiš. Keširanje, blokada... Generalno radnju radi običan SQUID server.
[ dendic @ 13.10.2014. 08:16 ] @
Nipošto blokade. Koliko procentualno squid poboljsava stvar vezano za link prema netu?
[ vladared @ 13.10.2014. 10:50 ] @
SQUID u bazičnom obliku sa nameštenim APC-om i Cachem teorijski pravi uštedu do 30% bandwidtha. Naravno, ovo zavisi od mnogo faktora tipa OS, jačina mašine, traffica (tipa i količine u tom trenutku)... Generalno imaš i druge proxy-je, imaš i druga rešenja tipa http acceleratora, npr Varnish, ali za većinu stvari je dovoljan SQUID...
[ dendic @ 22.10.2014. 12:28 ] @
Daj mi neki link na neki projekat ,npr, imam 100-tinjak korisnika wireless interneta,javnu IP adresu,samo bih http saobracaj da ubacim u proxy.Gdje da postavim taj proxy?
[ vladared @ 23.10.2014. 07:36 ] @
Kada se radi proxy prema internetu, uvek se proxy stavlja pre samog izlaza, odnosno čitav saobraćaj se sabira pre proxy-a, pa proxy, pa izlaz... Nije mi jasno kakve projekte želiš evo jedan od klasičnih primera sa neta http://www.slideshare.net/shdk...oject-on-squid-proxy-in-rhel-6 (na žalost ovaj što sam ja radio nije dostupan iz drugih razloga, a ne što ne želim da šerujem, sistem sa 1300 klijentskih računara + 200-300 servera po čitavom Srbistanu).
[ bachi @ 23.10.2014. 07:58 ] @
Kešira li lignja video sadržaj sa facebooka i youtuba? Ako ne kešira, to mu onda ne radi posao, jer čovek reče da mu najveći problem predstavlja facebook video i youtube.

Takođe, da li piče torrenti u toj mreži?

Na poslu koristim squid za keširanje, ali prventstveno za ograničenje downloada, tako da svaki korisnik ima 7Mb download, pa neka "radi šta hoće", mada mi je link ka Internetu 120Mb, pa se ne uzbuđujem mnogo. Ali nešto ne primećujem da kešira youtube video klipove... Inače, firma koja ima 100 klijenata i svi joj idu na net ne bi trebala da se šteka za internet link.

Ti bi isto mogao da staviš squid, staviš da svaki korisnik ima po n Mb/s download.

Squid dosta RAM memorije zna da proguta na mašini na kojoj je instaliran.
[ vladared @ 23.10.2014. 10:03 ] @
Facebook squid bi trebalo da kešira 1/1 . Do pre koju godinu je imao problema, ali pošto je facebook posatao više proxy friendly, keširanje je proradilo. Bitno je da se odabere "dovoljno velika veličina fajlova i keš memorije" i radiće. Youtube... Pa on je pomalo crna rupa za većinu, ali se i on može lepo iskeširati. Da se ne bi ja pravio ovde pametan neko se lepo potrudio i sve to objasnio ovde.
[ dendic @ 23.10.2014. 11:19 ] @
OK,još jedno veliko početničko pitanje.Jel server sam radi keširanje sadržaja za sve korisnike mog ranga IP adresa ili moram svakom korisniku na kompu podešavat pješke u konfiguraciji da je uključen proxy što mi ne bi odgovaralo.
[ bachi @ 23.10.2014. 11:24 ] @
Ok, lepo što može, sad jeste svakako problem prostora na hard disku za tako nešto.

No, mislim da mu je bolje rešenje da se primarno fokusira na to da korisnicima ograniči protok, sad da li će to na samom firewallu ili preko proxyja, neka sam odluči.

Server sam radi keširanje, na klijentskoj strani samo definišeš adresu do proxy servera (ili uključiš transparent proxy).
[ vladared @ 23.10.2014. 12:40 ] @
@bachi
Pa moj prvobitni odgovor je bio usmeren u tom smeru, ali je rekao da ne dolazi u obzir bilo kakvo ograničavanje.

@dendic
Proxy se mora podesiti za sve korisnike u tvom sistemu. U zavisnosti kakvo okruženje imaš, možeš ovo odraditi i grupnim polisama pod uslovima da imaš AD :)
[ vladared @ 23.10.2014. 12:48 ] @
Ups... Zaboravih kako se to inače radi :) Preko običnog dhcp servera, gde se definiše parametar proxy, pod uslovom da mašine su dhcp klijenti. :)
[ anon115774 @ 23.10.2014. 16:04 ] @
Najsigurnija varijanta je da se na gateway-u podesi da sav saobracaj koji za destinaciju ima spoljnu mrezu i port 80 radi redirekcija ka squid-u (osim naravno saobracaja koji ide sa squid-a ka spoljnoj mrezi).

Na taj nacin niko nece proci mimo proxy-ja i ne mora da se podesava bilo sta na klijentskim racunarima.
[ vladared @ 23.10.2014. 19:57 ] @
.Sve se može odraditi na više načina, sve zavisi od toga šta se ima i kako je konfigurisano... Recimo ako ima AD preko GP može da se zada exclusion listu sve što je na intranetu, kao i proxy i to je bukvalno 30 sek da se sve odradi i propagira polisa....
[ bogdan.kecman @ 24.10.2014. 04:03 ] @
vlado, teras 1300 korisnika kroz jedan squid? kako si to napravio, na kojoj ti je to masini? ... ja sam ga omrzo tamo pre nekih 7-8 godina .. na quad xeonu sa 16G rama i 15kRPM scsi diskovima na 4G kesh kontroleru smo uspevali da teramo max 250-300 usera kroz jednu masinu ... prosecan bw po korisniku oko 1mbps ... i vec na 200 usera krene vidno da se usporava odziv .. onda smo se prebacili na OOPS proxy server koji je digao tu cifru na oko 5k usera po masini .. ok masine su danas malo napredovale i diskovi su malo brzi ali i dalje mi nesto .. da 1300 njih pici kroz single squid ... OOPS je keva, na zalost ruja koji ga je pravio zabatalio projekat pre 5-6 godina, rece mi neko da se valjda odselio, dobio posao u usa ili tako nesto ..

ono sto je problem je sto sve vise kontenta ide iza https-a a tu nema neke velike vajde stavljati proxy :(
[ vladared @ 24.10.2014. 08:51 ] @
@bogdan
Niko nije rekao da svih 1300 korisnika istovremeno, bilo kada i svuda mogu da idu. Imamo AD preko koga je mnogo toga definisano (mnooogo olakšava posao), većina ni ne može sem nekih sajtova da poseti, a ti sajtovi su smešni i kada se ukeširaju leeeete (baš se pitam zašto), tako da squid i te kako radi radnju. ;)
[ bogdan.kecman @ 24.10.2014. 09:54 ] @
ma imali smo mi nesto bolje od AD ali kad ljudi sisaju internet squid
umre .. ako im limitiras sta ko vidi to smanjuje load na sam squid ..
doduse dize load na filterima ... bem li ga .. nije isti use-case .. ali
squid je prilicno spor i trom sistem .. cudi me da ga vreme nije pregazilo
[ Aleksandar Olujic @ 24.10.2014. 10:34 ] @
Za squid sa danasnjom cijenom opreme disk cache se prakticno ne isplati, sve u RAM, ako je 32-bitna masina onda u RAMDRIVE :)
Meni je jedan 4GB-8GB server 2-4 CPU dovoljan da tjeram squid, content filter i dva a/v engina-a za 200-300 ljudi. To je oko 2000 konekcija u prosjeku.
Za 400-500 samo dodas 8GB RAM. Za 1000 su dovoljna dva takva servera da niko ne primjeti da postoji squid, av1, av2 i content filter u njihovoj internet konekciji.

[ bogdan.kecman @ 24.10.2014. 10:40 ] @
hdd i ram nisu problem, ono gde je squid imao ogroman problem uzasno
sporog prihvatanja konekcija .. koliko sam sad zdrakno na brzinu
arhitektura im se nije menjala od onda, znaci ako moze malo da se dobije
na boljem cpu-u i boljem glibc ali sve u svemu i dalje je troma sprava ..

av danas za content nije problem, procesori su zverine :D, io takodje
nije neka frka i ssd i ram su vrlo jeftini ... problem je kod njega sto
zbog lose arhitekture ima zagusenje na samom ulazu .. jos onda je nama
recimo identicno bilo dal proxy kompresuje u letu content koji salje
klijentima ili ne .. i dalje je 99% load-a na prihvatanju konekcija
[ vladared @ 24.10.2014. 11:13 ] @
I dan danas je Squid sporiji od dosta servera, ali su mnogo poradili na tom problemu. Nije za poređenje (SQUID server je full proxy) ali Varnish (koji je samo http accelerator) ga šije samo tako u brzinama konekcije, ali zato u svemu ostalom je daleko iza.
[ bogdan.kecman @ 24.10.2014. 11:20 ] @
naravno ako se gledaju mogucnosti ja ne znam ni jedan koji moze da
prismrdi squid-u .. ali spoooooor je mega ..
[ dendic @ 24.10.2014. 17:39 ] @
Tražim mašinu sa dva procesora uz 8 ili 16 Gb RAM-a ako mislim da ce mi trebati i za 600 korisnika na SQUID ?
[ newtesla @ 06.06.2015. 09:34 ] @
Kao što je već neko pomenuo - džaba ti keširanje ako je saobraćaj HTTPS ;)
[ bogdan.kecman @ 06.06.2015. 09:42 ] @
Citat:
newtesla: Kao što je već neko pomenuo - džaba ti keširanje ako je saobraćaj HTTPS ;)


aj sto dizes godinu dana staru temu .. ali nije nikakav problem servirati kesirani https saobracaj
[ newtesla @ 20.06.2015. 12:09 ] @
Jedino ako ga na MS raspakuješ u HTTP, pa keširaš, pa šalješ sa samopotpisanim (ali validnim, jer je MS CA root) sertifikatom.

Ili postoji drugo rešenje, koje ne podrazumeva raspakivanje HTTPS u HTTP???

(za godinu dana staru temu - ups )
[ bogdan.kecman @ 20.06.2015. 13:19 ] @
ne raspakujes ga uopste :D ne pakujes ga "in the first place"
na web serveru namestis obican http a na kesh serveru stavis kriptovanje u https
tako da na samom web serveru (tj web serverima) nemas nikakvo siljenje https-a, ne trosis vreme na gzip i rsa, web serveri imaju pametnija posla na koja da trose cpu vreme, a onda na kesh serveru namestis da kesira, gzipuje i servira kao https .. namesti se vrlo lako i radi do jaja
[ niceness @ 20.06.2015. 15:32 ] @
Mislim da newtesla govori o keširanju saobraćaja prema LAN korisnicima (koji uspostavljaju https konekcije prema serverima na netu)
U tom slučaju može samo mitm ... ili ja nešto pogrešno kontam :D
[ bogdan.kecman @ 20.06.2015. 18:53 ] @
da, ja sam mislio na ovo korisnije kesiranje :D no nije neko veliko m00do da se i to napravi ... pravili mi za jednu domacu firmu vec ima tome 10+ godina, proxy prica sa target hostom a ti pricas sa proxijem, proxi generise ssl za svaki novi target host sa kojim prica i potpisuje ga sa nekim tvojim sertifikatom kom verujes (obicno firmin sertifikat) tako da se lokalni browser ne buni sve mu je ok a tamo proxy kesira (i snifa) sav https saobracaj ..

inace imas sad nekoliko komercijalnih proxy-a koji to rade, na primer http://www.bluecoat.com

imas takodje super poznat alat za debagiranje web-a http://www.charlesproxy.com/ on takodje kesira https

tako da, ko sto rekoh, nije nikakav problem kesirati https saobracaj :D a kontam da ce tih alatki da bude sve vise i vise sada kada su google i mozilla krenuli u borbu protiv http-a ( i da, kolega ispravno rece "kako", samo sam ja mislio na onaj drugi smer pa reko drugacije )

[ niceness @ 20.06.2015. 21:06 ] @
ma da, čim se ima kontrola nad lokalnim radnim stanicma to se može odraditi bez problema, može i sa MS ISA tj. forefront TMG :)
[ Aleksandar Đokić @ 24.06.2015. 20:42 ] @
A i sa wildcard sertifikatom kad se nema pristup racunarima.
[ newtesla @ 08.07.2015. 06:47 ] @
Definitivno smo ja i Bogdan pričali o suprotnim smerovima

(inače: nginx namerno ima opciju https raspakivanja u http, pa keširanja, pa opet pakovanja u https; ideja je da i saobraćaj između cache-proxy-ja i backend-a bude enkriptovan, ako bi neko mogao da "sluša" na putu )