Возникла задача блокировке доступа пользователей к интернет c разграничением доступа по группам. С http трафиком справляется squidguard, а вот с https посложнее. блокировка по SNI работает, но только глобально для всех. Есть ли инструмент (аналогичный squidGuard), для разграничения по группам только для работы с ssl?

squid.conf

https_port 3133 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem
always_direct allow all 
sslproxy_cert_error allow all 
sslproxy_flags DONT_VERIFY_PEER

acl blocked ssl::server_name "/etc/squid/group_blocked_https" 
acl step1 at_step SslBump1 
ssl_bump peek step1 

ssl_bump terminate blocked 
ssl_bump splice all

Недавно, увидев новость про новый mate, пошел искать, как заполучить этого зверя к себе в систему. Поиск привел на матешный ppa где кроме обычного репозиторития для trusty был и trusty-mate-testing. В нем был обнаружен mate 1.10 и этот репозиторий быстро занял свое место в источниках. Обновление прошло не очень гладко. Но времени разбираться не было, да и система работала стабильно. Решил отложить этот вопрос на потом. И каково было мое удивление когда неделю назад я обнаружил что этот репозиторий исчез. и есть только стандартный с 1.8. Кто знает где найти пакеты для trusty 1.10, а лучше 1.12, а еще лучше в репозитории) А то вроде все работает, но чувство тревоги не покидает меня.

Возникла задача распределения трафика между пользователями сети так чтобы гарантированная скорость была не одинаковая для разных пользователей. Количество пользователей может увеличится, в связи с чем возникает вопрос о превышении сумарного rate пользователей rate родительского класса.

В примере LARTC к htb, rate дочерних классов в сумме привосходит rate родительского, в то время как других статьях говорится что так делать нельзя, и может привести к непредвиденному к неправильной работе шейпера. Кто прав?