# Squid, samodzielna maszyna (bez NAT), ograniczenie upload

## lelekx

Witam,

dysponuję asymetrycznym łączem 1M/256kbps. Na tym łączu jest zainstalowany router sprzętowy Cisco, do którego nie mam dostępu. Na routerze jest uruchomiona usługa VPN, zespala ona ze sobą dwie sieci rozdzielone internetem. Ruch do internetu jest dozwolony tylko dla maszyny, która ma uruchomiony serwer proxy. Często zdarza się sytuacja, że cały UL jest zapchany i fatalnie to wpływa na pracę w sieci. W logach SQUIDa nie stwierdziłem aktywności P2P, dlatego też nie chcę wycinać żadnych portów czy ograniczać dostępności usług przez SQUIDa.

Squid został skonfigurowany tak, aby ograniczać pasmo DL do 640kbps. Niestety SQUID zdaje się nie ograniczać pasma UL. Szukałem chwilę w sieci, niestety nic ciekawego nie znalazłem - jedynie sugestie, aby użyć shapera do ustawienia limitów.

Problem (jak dla mnie) w tym, że maszyna ze SQUIDem nie ma NAT'a, przez tego samego NICa z jednym adresem IP otrzymuje dane z LAN i kieruje do routera. Nie mam pomysłu, jak się zabrać za shapera i ograniczyć ruch wyłącznie do/z routera.

Dość świeży jestem w tematyce GNU i przepraszam z góry, jeżeli odpowiedź jest oczywista - ja jej nie znam. Niestety ze mną trzeba jak z dzieckiem i za rączkę poprowadzić do celu, żebym nie zabładził. Proszę pomoc w rozwiązaniu problemu.

----------

## Raku

 *lelekx wrote:*   

> Problem (jak dla mnie) w tym, że maszyna ze SQUIDem nie ma NAT'a, przez tego samego NICa z jednym adresem IP otrzymuje dane z LAN i kieruje do routera. Nie mam pomysłu, jak się zabrać za shapera i ograniczyć ruch wyłącznie do/z routera.
> 
> 

 

ruch można kształtować na podstawie adresów źródłowych/docelowych.

----------

## timor

A można do tego wykorzystać np. HTB

Ponadto, nie bardzo rozumiem jak chciałeś znaleźć ślady p2p w logach squida  :Wink: 

Jeżeli chcesz mieć pewność, że w sieci nikt nie korzysta z p2p to polecam ipp2p + layer7, cięcie po portach na chwilę obecną niczego nie załatwia.

Pozdrawiam.

----------

## lelekx

Odnośnie P2P i squida:

- zablokowany jest całkowicie ruch ze stacji roboczych do internetu; jedyna droga dla abuserów to proxy: ślady P2P można rozpoznać po dużej ilości połączeń do hostów na nietypowych portach i przez łączenie się z hostami po IP

Dzięki za info, zobaczę jak ugryźć HTB.

Pozdrawiam

----------

