Fral Опубликовано 2 октября, 2006 · Жалоба На фре поднят файловый сервер на самбе, можно ли както запретить пользователям смотреть с него фильмы, может какие порты на файрволе зарезать? Установка FTP сразу скажу не подходит, интересен имено вариант на самбе но без возможности просмотра фильмов с сервака. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 2 октября, 2006 · Жалоба 1) завести отдельную шару дл фильмов, и соот. разрулить доступ по user/ip к этой шаре 2) в samb'е есть директивы типа veto files можете покопать их Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 2 октября, 2006 (изменено) · Жалоба Он имел ввиду "разрешить скачать, но запретить тянуть сессию продолжительностью равную продолжительности фильма". Ответ: НЕТ. И там и там для сервера это выглядит абсолютно идентично: запрос файла, отправка в сеть... разница только в скорости получения (а от этого и кореллируется скорость отправки) данных по сессии. Смиритесь. Или, всё-таки, как все "нормальные пацаны" уходите на FTP. Уверяю, успокоятся довольно быстро. Смотреть "на лету" с ФТП смогут только самые отчаянные (mplayer умеет). Изменено 2 октября, 2006 пользователем GateKeeper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fral Опубликовано 2 октября, 2006 · Жалоба Он имел ввиду "разрешить скачать, но запретить тянуть сессию продолжительностью равную продолжительности фильма". Ответ: НЕТ. И там и там для сервера это выглядит абсолютно идентично: запрос файла, отправка в сеть... разница только в скорости получения (а от этого и кореллируется скорость отправки) данных по сессии. Смиритесь. Или, всё-таки, как все "нормальные пацаны" уходите на FTP. Уверяю, успокоятся довольно быстро. Смотреть "на лету" с ФТП смогут только самые отчаянные (mplayer умеет). Спасибо, всетаки придется ФТП подымать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
puh Опубликовано 2 октября, 2006 · Жалоба и vlc ещё :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 2 октября, 2006 · Жалоба Если это линукс, connbytes в iptables, и -j CLASSIFY в шейпер т.е. если тянется что-то очень длинное, урезать скорость до мегабита скажем для файла хватит, для фильма нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 4 октября, 2006 · Жалоба Если это линукс[skipped] На фре поднят[skipped] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Egor Опубликовано 4 октября, 2006 · Жалоба т.е. если тянется что-то очень длинное, урезать скорость до мегабита скажемдля файла хватит, для фильма нет Ну mpeg4 фильмы по 700мб могут смотреться и при 500кбит/c, а вот если до такой скорости упадет скачивание игрового iso-шника юзеры будут вопить, что "сетка говно - тормозит!". Тут разве что раз в минуту шейпить на 5 сек до 100кбит/c, а потом снимать шейп. Фильм смотреть станет невыносимо, а у файла средняя скорость скачивания особо не пострадает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 4 октября, 2006 · Жалоба Если у пользователя стоит пре-кеш на фильмах в 10+ секунд, то он даже не заметит шейпа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kuzmich Опубликовано 5 октября, 2006 · Жалоба Раз в час перезапускать самбу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 5 октября, 2006 (изменено) · Жалоба Kuzmich, согласитесь, бред? Во, кстати, сейчас вспомнил, что планировал, но так и не успел осуществить по предыдущему месту работы: FTP, имеющий морду на HTTP. Далее - раздел фильмы, там картинка, описание, как обычно, кнопка смотреть... Ну и смотри себе на здоровье (любой мало-мальски уважающий себя плеер умеет хотя бы HTTP-поток, даже MediaPlayer) - нагрузка по передаче трафика по HTTP в разы, если не в порядки отличается от нагрузке по передаче средствами SMB/CIFS. Разве только опять же фильмы... Но у себя мы тогда свыклись с негаснущим индикатором обращения к винтам... Изменено 5 октября, 2006 пользователем GateKeeper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 10 октября, 2006 · Жалоба сегодня зачем-то пришла в голову мысль типа: сделать веб-морду, а файлы отдавать с виртуального хоста на другом порту (например 8080). скрипт, который отдает линк на файл - чтоб в момент старта открывал фаерволом порт 8080 для IP клиента, а через 20 минут закрывал. 20 минут для скачивания вполне хватит, а для просмотра - нет. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 11 октября, 2006 · Жалоба balamutang, тогда дальше пойдите: header('Content-Disposition: attachment; filename="тут_MD5илиSHA256_хэш_от_случайного_набора_символов.avi"'); Тогда даже wget'ом не утянут на скриптах, разве только повозятся и укажут -o :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 11 октября, 2006 (изменено) · Жалоба balamutang, тогда дальше пойдите:header('Content-Disposition: attachment; filename="тут_MD5илиSHA256_хэш_от_случайного_набора_символов.avi"'); Тогда даже wget'ом не утянут на скриптах, разве только повозятся и укажут -o :) нутк наоборот, задача вроде как надо чтоб вгетом/регетом/прочим гетом утягивали или просто эксплорером сливали на хард, а не смотрели напрямую с сервера :) задача фаервола - резать сессии которые тянутся больше 10-20 минут, а не запрещать доступ к серверу. ЗЫ кстати можно и самбовские порты открывать через веб-морду на 20 минут. Изменено 11 октября, 2006 пользователем balamutang Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 11 октября, 2006 · Жалоба balamutang, Вы не поняли: wget будет тянуть первые 20 минут, однако на скрипт это дело поставить будет очень сложно. Если он зацепился для стягивания - то стянет, буде это позволено текущей нагрузкой на сеть или сервер. А вот остальные шаманства... Дело в том, что тут даже не могу себе представить такой извращённый вариант как использовать wget для просмотра on-line. Хотя да... некоторые плееры берут поток из stdin. В общем, на всякий случай принимайте совет к сведению - извращаться, так извращаться :) Чтобы защититься от извращенцев надо быть самому еще большим извращенцем и предугадывать их шаги заранее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
balamutang Опубликовано 11 октября, 2006 (изменено) · Жалоба balamutang, Вы не поняли:определенно ктото из нас что-то не понял. :) еще раз:есть фильмопомойка, задача запретить юзверям смотреть фильмы прямо с сервера. как определить что смотрят с сервера: если скорость маленькая (500-700кб/с) или если время сессии больше 3-20 минут. проще определиться по времени. соответственно надо убивать коннекты длинней 20 минут. проще всего рубить фаером. управление закачкой - через веб-морду, suexec перловый в начале закачки открывает порт и в этот же момент заносит в atrun задачу отключить через 20 минут этот же IP (по сути просто заносится и удаляется ip из таблицы). отдавать файло можно любым сервисом (SMB/FTP/HTTP), главное при HTTP отдавать с другого порта, чтоб веб-морду управления случайно не зарезать фаером. даже если кто-то извратится и будет смотреть нерадиционно (через стдин) это будет единичный случай, бороться с которым особого смысла нет. здесь задача не защищаться от 1-5% извращенцев :) ,а приучить к порядку остальные 95-99% юзверей. Изменено 11 октября, 2006 пользователем balamutang Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 11 октября, 2006 · Жалоба > а приучить к порядку остальные 95-99% юзверей. Разрешите оффтоп: А зачем запрещать юзерам смотреть фильмы с сервера ? Я вот люблю смотреть фильм прямо с сервера .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 11 октября, 2006 · Жалоба у меня дома как-то стоял собранный из хлама P1-120MHz 32Mb SIMM'ов на котором крутились ftp/chat/forum. Для двух десятков непритязательных юзеров хватало. Представляю если разрешить с такой машины фильмы ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 11 октября, 2006 · Жалоба > Представляю если разрешить с такой машины фильмы ))) Ась ? Apache оптимизированный для отдачи статики занимает на каждого клиента не мболее 2Мб памяти. nginx еше меньше. Процессорные ресурсы вообще мизерные потребуются. С диска и через сеть будет гонятся для каждого клиента 400-600 Кб/с А если действовать как предлагает товарисч то мы имеет, если к примеру 10 человек одновременно понянут фильмы , то они рискуют вообще за указанные 20 минут не вытянуть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 11 октября, 2006 · Жалоба 2edwin: Да не суть в этих 20 минут. Время можно определить и динамически (например, текущие закачки - 10 потоков по 10Мбит/с - клиенту говорим: звыняйте, слотов не осталося..., или потоков меньше - вычисляем из текущей нагрузки время прохождения его фильма через коннектор, накидываем на всякие непредвиденные несколько минут, отдаём). Дело в другом. Когда юзеры смотрят фильмы с сервера (а смотрят они их круглосуточно, уверяю) при тогдашних 1000 пользователей плюс-минус 30-40 лампочки на винтах не гасли вообще ни днём ни ночью - в дни дежурства это смотрел. Даже в 4 утра, когда в общем-то даже самые стойкие разбредаются... Итог: раз в пол-года были аварии по винтам - ну не выдерживали они такого издевательства. Ситуацию в общем-то не особо спас переход сервера-помойки на FTP (фильмы тогда не тронули - на CIFSе оставили), помойка не сильно реже стала винтами шуршать. Но вот balamutang дело говорит: хочешь скачать - будь любезен скачать, а дальше делай чо угодно, хоть монтаж фильмов, хоть что, освободи винты и канал для других. 2balamutang: Да я не спорю с тем, чтобы открывать по времени, лишь решил поприкалываться и предложить заранее "усовершенствовать" систему :). Кстати, такая штука у мну на работе - по веб-авторизации открывается порт SSH (на несколько минут всего). А проверка пользователя - по SSL-сертификату. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edwin Опубликовано 11 октября, 2006 · Жалоба > Итог: раз в пол-года были аварии по винтам Понятно .. просто я смотрю со своей колокольни SCSI винтов.... Кстати дешевые IDE винты еще и актиным Squid'ом очень шестреко убиваются .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 12 октября, 2006 · Жалоба edwin: ну не будет же никто вменяемый на _файлопомойку_ ставить SCSI в 5 рейде! Тем более, если делать что-то типа 1,5+TB объёмом. Такие хранилища и в более других проектах пригодятся, где это более оправдано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...