Тема в первую очередь носит характер обсуждения и выражения своего видения «правильного», и затем уже является криком о помощи.
Я хочу переделать текущую структуру раздачи энторнэтов, т.к. меня она в корне перестала устраивать.
Вводные данные:
CentOS 6.6 (wtf? Помнится он был 6.3 и я его точно не обновлял.. ну да ладно) eth0 - 192.168.0.х/23 eth1 - 20Mb/s inet ppp0 - linkdown-based резервный канал tun1 - аэропорт для филиалов ZCS, squid на котором никто уже не сидит, iptables с кучей нужных правил и НАТом. iptables пускает в энторнеты всю подсеть 192.168.1.0, для подсети 192.168.0.0 разрешен доступ выборочным пользователям (которых больше 100, что ставит под сомнение целесообразность использования текущего сквида). DC Win 2008R2 DHCP, DNS Все юзеры дружно болтаются в Users без всяких разделений на OU Users: компы в домене (редко у кого прописан прокси в свойствах браузера) залетные компы не в домене айфончики/андройдики из под дешевых и доживающих свой век аццеспойнтов.
Что хочу получить:
* Автоматически завернуть весь трафик в squid. * Настроить delay pools. Надоело искать через iftop и nethogs умников, решивших скачать половину вконтакта с телефона. Хочется нормально поделить канал на несколько пулов, отрезав десяточку основным компам и серверам, оставив остальные 10 для большинства, которому и инет то с натягом нужен. * Получать статистику использования канала пользователями (в реальном времени и за определенное время дня или ночи). Хочется знать кто сколько кб\с жрет в данный момент. Сегодня збх показал мне очень интересную картину с 20Мб\с входящего в период с 23:00 по 07:00, нужно иметь возможность спустя несколько часов найти и покарать виновника (даже если это половина китая развлекается с моего ip). * Получать статистику по Интернет-запросам пользователей.
Сразу же встал вопрос с авторизацией, т.к. слишком много проблем с этими залетными ноутами, директорским iМусором. Я думаю вообще отказаться от ntlm и какой-либо авторизации, лишь оперируя адресами, которые раздаются dhcp на год и резервируются за ключевыми станциями и узлами. Но тут вопрос не пострадает ли информативность статистики и разделение канала.
В общем, жду советов, может кто-то что-то дельное настраивал в подобном духе.
Сразу скажу, что порты 80 и 443 на сервере заняты, и наворачивать дополнительный веб-сервер помимо поставляемого с зимброй мне не хотелось бы. Нагружать локальный mysql дополнительной базой тоже нет возможности. Статистика сгодится и в текстовой форме через консоль
