Linux глазами хакера

Флёнов Михаил Евгеньевич

После этого нужно определить, к какому классу относится пул. Это делается с помощью директивы

delay_class n c

, где

n

— это порядковый номер, а

c

— номер класса. Каждая строка с директивой

delay_class

должна иметь свой порядковый номер, который начинается с 1. В нашем примере две строки, поэтому в первой параметр

n

равен 1, а во второй — 2.

Номеров класса (второй параметр) может быть три:

□ 1 — ограничение канала происходит для всей сети. Например,

у вас внешний канал 256 Кбит/с, вы можете его уменьшить для всех до 64 Кбит/с;

□ 2 — сузить можно общий канал и помимо этого для каждого пользователя индивидуально. В этом случае общий канал может быть понижен до 64 Кбит/с, и каждый пользователь в отдельности сможет работать только на скорости 4 Кбит/с;

□ 3 — ограничивать можно общий канал, индивидуально и для каждой сети в отдельности. Например, если скорость канала равна 256 Кбит/с, а в вашей сети работает 4 подсети, то каждой из них можно выделить по 64 Кбит/с, чтобы равномерно разделить нагрузку.

В нашем примере мы используем пулы 1 и 2 и снова 1 класса. Я специально расположил их не последовательно, чтобы пример был более наглядным.

Теперь описываем параметры скорости доступа. Это делается с помощью следующей директивы:

delay_parameters пул скорость_канала скорость_сети индивидуально

пул

— это номер пула, скорость которого мы хотим описать. Так, в нашем примере следующая строка описывает скорость для первого пула:

delay_parameters 1 256000/256000

Так как пул 1 имеет 1 класс (

delay_class 1 1

), у которого можно ограничивать только канал полностью, в директиве используется единственный параметр —

скорость_канала

(

256000/256000

). Он формируется в виде двух чисел, разделенных знаком "/". До слэша указывается скорость, с которой будут скачиваться данные из сети, а после — размер пула, т.е. емкость, которую можно наполнить полученными из сети данными.

Количество параметров зависит от класса используемого пула. Если вы используете 1 класс, где можно ограничивать только общий канал, то должны быть указаны только два параметра:

delay_parameters пул скорость_канала

Если используется второй класс, то директива выглядит следующим образом:

delay_parameters пул скорость_канала индивидуально

Итак, первая директива использует полную скорость канала 256 000 байт в секунду. Обратите внимание, что скорость указывается именно в байтах, а характеристика модема задается в битах в секунду. Если в качестве скорости указать значение -1, то никаких ограничений не будет.

После определения параметров для первого пула нужно установить права доступа к нему. Это делается директивой

delay_access

, которая имеет следующий вид:

delay_access пул доступ acl

Первый параметр — это снова номер пула. Потом указывается доступ

allow

или

deny

, и последним идет имя списка.

В нашем примере для первого пула используется две строки:

delay_access 1 deny all

delay_access 1 allow admins

Сначала

мы запрещаем доступ для всех, а потом разрешаем работать на данной скорости только ACL-списку

admins

. Подразумевается, что в этот список входят администраторы.

Далее идет описание скорости и прав доступа для второго пула:

delay_parameters 2 256000/256000 4000/8000

delay_access 2 allow all

delay_access 2 deny admins

Так как второй пул относится ко 2 классу, то здесь нужно указать общую скорость (256 000 байт в секунду) и скорость доступа каждого компьютера в отдельности — 4000 байт в секунду. На такой скорости будут работать все пользователи в сети, кроме администраторов.

Если вы установите такие правила в какой-либо организации, то могут возникнуть проблемы с руководством, потому что директор тоже попадет в список

all

и будет работать на скорости 4000 байт в секунду. Я думаю, что его это не устроит, и для него мы сделаем отдельную запись:

delay_parameters 3 64000/64000

delay_access 3 deny all

delay_access 3 allow bigboss

С помощью ограничения пропускной способности канала можно запретить загрузку мультимедийных файлов в рабочее время. В следующем примере мы разрешаем быстро читать Web-странички, но уменьшаем скорость загрузки других медиафайлов (листинг 9.4).

Листинг 9.4. Ограничение скорости загрузки медиафайлов в рабочее время

# ACL-список, описывающий сеть

acl fullspeed url_regex -i 192.168.1

# ACL-список, описывающий медиафайлы, для которых необходимо

# понизить скорость

acl mediaspeed url_regex -i ftp .exe .mp3 .avi .mpeg .iso .wav

# Время, которое будет действовать ограничение на скорость

# загрузки медиафайлов

acl day time 08:00-18:59

# Нам нужно два пула второго класса

delay_pools 2

delay_class 1 2

delay_class 2 2

# Первый пул не имеет ограничений для всех

delay_parameters 1 -1/-1 -1/-1

delay_access 1 allow fullspeed

# Второй пул ограничивает доступ в дневное время

delay_parameters 2 4000/100000 4000/100000

delay_access 2 allow day

delay_access 2 deny !day

delay_access 2 allow mediaspeed