Los que administramos (o hemos administrado) servidores en una empresa sabemos que el primer enemigo de la productividad es Facebook y YouTube. Estos sitios hacen que los empleados a los que se les paga por ser productivos, por trabajar, la mayor parte del tiempo tengan abiertos estos sitios para entretenerse, ver vídeos, chatear con un amigo, etc.
No importa si ya existe WhatsApp, no importa que tengan un smartphone con Android y usen WhatsApp para comunicarse con sus amigos, ellos simplemente siguen usando el chat de Facebook y escribiendo en el muro de sus conocidos.
¿La solución inmediata? … simple, sería bloquear completamente el acceso a Facebook y YouTube en el servidor proxy, así no gastan tiempo y ancho de banda accediendo a estos sitios. El problema con bloquear completamente el acceso son las quejas, las miradas penetrantes y asesinas de los empleados hacia nosotros, el administrador de red 😀
¿Una mejor solución? … bueno, aquí es donde entran los Delay Pools de Squid:
Delay pools es la respuesta de Squid frente al control de ancho de banda y el traffic shaping (catalogación de tráfico). Esto se realiza limitando el rate que el Squid retorna los datos desde su cache.
O sea, mediante Delay Pools puedo especificar que determinados usuarios navegarán más lento que el resto, o que el acceso a determinados sitios será más lento. Vamos, organizar y administrar el ancho de banda disponible, para que no se desperdicie.
Por lo que, la solución que yo encontré a la problemática ya planteada es la siguiente:
- Permito el acceso a estos sitios ‘problemáticos’
- Le aconsejo a los usuarios que usen otros medios para comunicarse con sus conocidos, inclusive les digo «usa Telegram o WhatsApp, inclusive mira, aquí podrás descargar la aplicación Whatsapp para Android o iOS, o para Nokia si aún tienes uno de estos.«
- En el servidor proxy implemento un Delay Pools para hacer que el acceso a Facebook y YouTube sea lento, de esta forma no se consume mucho ancho de banda (que se necesita para otras tareas) y el usuario al ver que la navegación por estos sitios es muy pero muy lenta, eventualmente desiste.
Precondiciones
Debemos tener instalado, configurado, completamente funcional un servidor proxy con Squid.
Squid debe tener soporte para Delay Pools, lo cual significa que si compilaron ustedes mismos Squid debieron haber tenido en cuenta compilarlo con soporte para Delay Pools. Si no es así y lo instalaron mediante los repositorios, todo irá bien.
Creando las condiciones para el Delay Pools
Lo primero será crear un archivo en el cual irán las IPs de las PCs que accederán más lento a Facebook, porque son los que más usan estos sitios para tontear y no son precisamente productivos:
touch /etc/squid/ips-lentas
Luego editamos el archivo con nano o agregamos con echo las IPs de una en una, por ejemplo 10.10.0.67 pertenece a la secretaria, que se pasa horas ‘invirtiendo’ tiempo en el horóscopo y juegos en Facebook:
echo "10.10.0.67" >> /etc/squid/ips-lentas
Ahora, debemos editar el archivo squid.conf (ubicado en /etc/squid/) para agregar las reglas del Delay Pools:
nano /etc/squid/squid.conf
En el mismo agregamos esto:
acl usuarioslentos src "/etc/squid/ips-lentas" #PONER LENTO YOUTUBE, FACEBOOK delay_pools 1 delay_class 1 1 delay_parameters 1 1000/100 acl lento url_regex \.flv$ acl lento url_regex \.mp4$ acl lento url_regex -i watch? acl lento url_regex -i youtube acl lento url_regex -i facebook delay_access 1 allow lento usuarioslentos
¿Qué significa esto?
Simple:
- Primero creamos una nueva regla llamada usuarioslentos cuyo contenido o listado será lo que contenga /etc/squid/ips-lentas
- Luego establecemos el ancho de banda para el Delay Pools, que será 1… o sea, lo más lento posible, lento a muerte 🙂
- Seguidamente estamos creando una regla llamada lento y su contenido serán todas las URLs que contengan un archivo .flv, .mp4, un watch, youtube o facebook … de esta forma cubrimos todo YouTube y Facebook.
- Finalmente especificamos que usuarioslentos (primera ACL o regla creada) siempre y cuando accedan a los sitios lento (2da ACL creada) su velocidad será 1kbps, o sea, ínfimo ancho de banda para ellos en esos sitios.
En caso de que tengan una lista blanca de Squid, deberán agregar lo siguiente al squid.conf:
http_access allow usuarioslentos
Esto es suponiendo que tengan su acceso dado por IPs, si lo tienen implementado por autenticación (user & password, LDAP, etc) igual, es cuestión de poner en vez de IPs los usuarios en ips-lentas
Fin!
Este post va obviamente dirigido a los administradores de red con poco ancho de banda, o aquellos que de veras desean o necesitan que las personas sean productivas. Sé que muchos usuarios me querrán matar pues no desean que en sus universidades o centros de trabajo les hagan esto con estos sitios.
Espero le haya resultado interesante a varios, el potencial de los Delay Pools y Squid es realmente extraordinario
Saludos
59 comentarios, deja el tuyo
Q vijilante q sos hermano… deja q la gente navegue libremente por el ciberespacio…
No se trata de ser «villano» o no, muchas veces la elección de bloquear o poner lento Facebook y YouTube la toma el Jefe, no nosotros.
eso no te quita lo cobani.
Tengo que decir que me apoye en el articulo gaarita, el mio me quedo algo así:
delay_pools 4
delay_class 1 1
delay_class 2 1
delay_class 3 1
delay_class 4 1
#delay_parameters 1 262144/262144
#delay_parameters 2 524288/524288
delay_parameters 1 524288/524288
delay_parameters 2 262144/262144
delay_parameters 3 28672/28672
delay_parameters 4 8448/8448
delay_access 1 allow National
delay_access 4 allow GroupsEstudiantes
delay_access 1 allow PunishedSites !GroupsDirectores !GroupsDesarrollo !GroupsInternet
delay_access 3 allow ExtsDenegadas !National
delay_access 3 allow PunishedUsers !National
delay_access 2 allow NetLocalLan !National !GroupsDirectores !GroupsEstudiantes !PunishedSites !ExtsDenegadas !PunishedUsers
lo bueno es que KZKG^Gaara no bloquea sitios como http://buscon.rae.es/drae/srv/search?id=D7FntVIRHDXX2ZAwyBNN ….
creo que las razones del post están mas que claras, quisiera ver si decís lo mismo siendo vos el que pone la plata para la conexión de internet y el que les paga a los empleados
«El problema con bloquear completamente el acceso son las quejas, las miradas penetrantes y asesinas de los empleados hacia nosotros, el administrador de red :D»
jejeje
Mientras que facebook puede considerarse un medio de comunicación (Inclusive interna), con youtube la política siempre debería ser el bloqueo total, pues no ofrece ayuda alguna que no pueda conseguirse en otro lado, solo entretenimiento, así que los recursos de la empresa no deben estar disponibles para eso.
Por lo menos en mi país no es nada barato el servicio de internet y por mucho ancho de banda que tengas, difícilmente puedes competir contra 20 – 50 equipos viendo vídeos a 720p o mas.
no quisiera estar en una empresa donde el admin de red es KZKG^Gaara D: es malevolo ha de saber que trucos mas tendrá bajo la manga xD jajajajaja, en vez de ser malo y bloquear el acceso, es cínico y despiadado D: le gusta ver morir a su presa lenta y dolorosamente D: jajajaja
hablando en serio, me gusto el post 😀 (mi conocimientos en servidores está en pañales pero de seguro que en algun momento me va a servir esto xD)
jaja créeme, tenerme a mí de admin en el nodo es muy malo si eres el tipo de usuario que malgasta tiempo y ancho de banda 😀 … soy peor que un perro de presa JAJAJA
Gracias por tus comentarios 🙂
Al menos en mi empresa son un poco mas generosos, acá te dan un tiempo de cuota de 10 minutos de navegación para ese tipo de sitios XD.
Que tutorial de mierda…
Eso no sirve en lo absoluto, para empezar los videos propiamente dichos no se sirven desde la url que uno ve en la barra de direcciones, sino desde distintos dominios (ver el source de un video en youtube)
Aunque casi siempre es algo asi como: ytimg.com
Y sumando a todo eso, ahora youtube va sobre https, asi que NO es cacheable y ni siquiera pasan por el control de squid.
Que amable que son los argentinos no? 🙂
Sé perfectamente que los vídeos no se muestran como un link de DD en la URL, por eso en las primeras líneas contemplo los .flv$ y .mp4$
Sobre lo de HTTPS o HTTP, YouTube será lento bien si es HTTPS o HTTP, porque se puso lo siguiente:
acl lento url_regex -i youtube
Creo que se explica por sí solo.
Deja preguntar algo, ¿eres en serio administrador de sistemas o solo vienes a molestar acá? 🙂
Pregunto porque has afirmado que el tutorial es una mierda, que no sirve, cuando en realidad eres tú quien no ha sabido interpretar unas simples líneas de código, inclusive yo mismo las expliqué más abajo.
Hmn, no metas a todos en la misma bolsa….
no tomes en cuenta a ese argentino loco para criticar hay que fundamentar es lo mínimo, se nota que no tiene idea de que significa esa palabra menos un código xDD
Vaya…
Creo que he interpretado bastante bien y sólo para sacarme la duda lo he probado (y por supuesto no funciona)…
Ese «1000/100» no sólo está mal puesto, según la documentación oficial que pueden leer aqui:
http://www.squid-cache.org/Doc/config/delay_parameters/
Ese 1000/100 significa host/red por lo tanto NUNCA un host puede tener MAS que el total de la red.
Saludos
Mstaaravin:
Aún cuando mi compañero se pueda equivocar, eso no significa que tengas que venir aquí a decir que el post es una mierda. Es más, pudiste haber corregido el error con todo respeto. Ahora, volviendo al tema, en mi experiencia (que también he sido administrador de red) el 1000/100 no está para nada mal puesto..
El 1000/100 lo que hace es que cuando el usuario llegue a consumir los 1000 llene el cubo o bucket y automáticamente se limite su conexión a 100. Eso permite que el usuario acceda de forma «rápida a una primera petición».
Por lo tanto no tiene nada de raro usarlo de ambas formas, podría incluso ser 1000/1000, pero lo que si no debe ser es 100/1000, pues no tendría sentido alguno.
Y puede que yo me equivoque también al decirte esto, pero es señal que soy un ser humano y que por lo tanto tendría que aprender algo más en esta vida.
Si alguien tacha un artículo de «mierda», yo ya simplemente paso de esa persona y de seguir explicándole.
Perdon KZKG^Gaara, por suerte los argentinos no somos todos como este personaje, de hecho todo lo contrario, pasa que gente como el hay en todos lados. Y lamentablemente una estupides queda mas en la memoria que 1000 cosas buenas.
Acaso yo no soy amable.. -.-
A relajarse, todos acá somos humanos y podemos equivocarnos.. ..de todas formas hay mejores formas para decir las cosas..
raw sos argentino :O ? algún día nos tenemos que juntar todos los muchachos de DL argentinos en alguna flisol xD jajajaj
Lo siento, fue mi error, o sea, no intentaba generalizar… según su comentario es lo que parece, pero sé que no todos los argentinos son así, Pablo (usemoslinux) es solo un ejemplo 🙂
Nah, al carajo, yo no soy argentino de nacimiento pero si de ascendencia, y una mierda, es un estereotipo hijo de puta que todos son así, mis primos y mi familia (aunque si son varios pelotudos hinchas del River xD) son geniales.
Fuera de eso, ¿Tanta cháchara por un petardo de tercera? Pff, he visto peores que el, de hecho, yo lidiaba con Courage mas que todos ustedes, y me hacía caso JAH! xD
@nano: peor si fueran bosteros!!!!
Tocayo ubuntero LOL xD
«Que amable que son los argentinos no? :)»
Decímelo a mi, los sufro todos los días desde que nací xD
Lo peor es que no siempre fuimos este país de mierda, de hecho, en algún momento fuimos un país de gente culta, doca, educada… pero bueno, en los años ’40 ganó la presidencia la demagogia y el populismo en forma de un militar que se auto impuso el grado de General y adoctrinó a su séquito para que gritaran más fuerte cuando no tuvieran razón.
Ese fue el comienzo de la Argentina pedante, autoritaria y prepotente, de su sindicalismo mafioso, de su corrupción política, moral y social.
De hecho es tan grave el tema como la célebre frase de George Orwell:
«In a time of universal deceit – telling the truth is a revolutionary act.»
Esta fue la Argentina que perdimos y que este flaco descubrió hace poco:
¿Por Qué Argentina? – Explicado Por Un Yanqui
https://www.youtube.com/watch?v=DzYguA1r5cc
Un Yankee Enseñando Pronunciación A Otro Yankee
https://www.youtube.com/watch?v=EZeHU9XVGe0
Saludos!
jojojo que macabro me gusta xDD así tendrán empleados mas productivos y menos distraidos xDD
excelente post eso si que da gusto leerlo aunque a mi me interasaria mas como saltarme este tipo de restricciones jajaja es que justo en el trabajo estoy bajo un delay pool de youtube y todo lo que sea streaming
Para saltarte este tipo de restricciones podrías usar un VPN, un WebProxy que funcione sobre HTTPS y en la URL no ponga nada relacionado con los sitios que visitas.
Muy interesante compañero, pero para todo hay solucion. En mi trabajo el administrador de red tambien trata de muchas formas impedir el acceso a ciertos sitios. Pero google nos ayuda siempre.
Muchas Gracias por la informacion !!!!
SALUDOS !!
Jaja, con esto consigues lo contrario, que para ver un video de 1 minuto tardes 10, superproductivo! Es mejor cortalo de raiz.
Y cuando el video sea de más de 30 minutos? 😀
Interesante tema, yo lo usaria para limitar ancho de banda a la navegación en Internet y asi darle más ancho de banda a aplicaciones más críticas como el correo, vpns, o aplicaciones que se ejecuten en la nube.
Lo de limitar a los usuarios siempre debe de ir acompañado de políticas, respaldo de la alta gerencia y una correcta inducción del empleado desde que se le contrata en rrhh sobre la correcta utilización de los recursos de la red.
No creo que YouTube sea una completa perdida de tiempo, en una empresa donde estuve, YouTube se utilizaba como herramienta de entrenamiento, ya que hay muchos tutoriales sobre reparación de equipos industriales, etc. Ahora el problema es si se deja completamente abierto, por eso digo que el empleado debe saber desde que se le contrata a que tendra acceso y a que no, y los administradores de red, en base a esta indicación deben aplicar las restricciones adecuadas para dicho perfil.
¡Al fin!, lo que estaba necesitando desde hace tiempo… Vamos a ver si logro implementarlo correctamente, no puedo esperar para ver las caras de los «adictos» que se pasan el día tonteando y tienen casi colapsado el «estrecho de banda»…
Excelente artículo y de mucha ayuda para los que tenemos la desdicha de vivir en el cayo…
Muy buen artículo !!!. Leído, Descargado y Guardado.
Habría que obligar que la gente tampoco entre en los blogs cuando trabaja XD, ya que aquí todos dicen que están usando windows porque están en el trabajo, por tanto significa que están haciendo el vago en el trabajo XD
jajajajajajajaja +10000000000000000000
:O eso es lo que mas o menos aplican en los planes de mi compañia celular 😛 bajarte la velocidad, excelente gracias por la info 😀
Pregunta, viendo en wikipedia Squid es un software proxy, quisiera saber ¿cuál sería la diferencia entre Squid y Endian Firewall si quisiera bloquear paginas web? ¿cuál recomendarían?
«Estos sitios hacen que los empleados a los que se les paga por ser productivos, por trabajar, la mayor parte del tiempo tengan abiertos estos sitios para entretenerse, ver vídeos, chatear con un amigo, etc.»
COOOMOO!! No se les paga por perder el tiempo en cosas irrelevantes!? Mirá! Yo creía que su función era relodear FB cada 5 segundos! A cualquier lugar adonde voy y hay empleados usando una máquina, todos estan FBeando…
«El problema con bloquear completamente el acceso son las quejas, las miradas penetrantes y asesinas de los empleados hacia nosotros, el administrador de red :D»
Jajajaja, cómo me reí con esto, absolutamente cierto!!!
El problema es que – lamentablemente – son tantos los desubicados que finalmente terminan subvertiendo el orden de las cosas por lo que vos pasás a ser el villano y ellos las víctimas cuando, si no abusaran de las facilidades que tienen – por ejemplo acceso a FB, YT, etc. – no haría falta que se les impusieran reglas de este tipo. Pero claro, vos sos el hdp, el guarro, el nazi que «le impone restricciones a la libertad de navegación de los pobres usuarios», jeje.
«lento a muerte :)»
Jajajaja, fuck yeah! xD
EXCELENTE POST NENE, KEEP IT UP!
jaja gracias 🙂
Un placer, repito … un placer volverte a leer por acá. Eso sí amigo, el otro comentario lo mandé a papelera, creo que está un poco subido de tono jajajaja, hay veces que no se le puede decir «aaa» a alguien, aunque ese alguien parezca ser un «aaa» 😉
Me parece perfecto ya que en realidad era para Uds. La próxima les contesto a través de MP en el foro.
Gracias por mantener este espacio limpio!
Hola, agradeciendo que compartan su experiencia y conocimiento del tema. Tengo una conexion de 3Mb, y alrededor de 100 dispositivos (70% celulares y 30% laptops), los celulares casi siempre estan conectados, quisiera usar unas delay pools para tener un mejor rendimiento de la red en la medida de lo posible, estaba pensando en 4 pools de la siguiente manera: #1 para los gerentes/IT (sin restricciones de sitios ni velocidad).# 2 para usuarios registrados ( con restriccion de sitios y de velocidad). #3 invitados (restriccion de sitios y aun menor velocidad). #4 publicidad/banners (la menor velocidad). Tengo un dhcp-squid-dansguardian, se han asigando ip’s staticas a los usuarios identificados (gerentes, usuarios registrados) y he dejado un rango de ip’s para los invitados, alguna sugerencia y/o comentario para implementar esta mejora?
Excelente post. Siempre que hablo de este tipo de situaciones me voy a las granjas de gallinas ponedoras que normalmente no aparecen en los anuncios de las grandes distribuidoras de productos alimenticios (perderían la fama que les queda). Cada gallina, centrándome en el tema, accede desde su jaula a un contenedor de pienso que contiene la cantidad exacta de alimento que debe «engullir» (las industrias no suelen derrochar) en proporción a las calorías que el animal consume moviéndose (lo poco que puede) en el espacio donde trascurre su vida. 1- El animal no puede morir de inanición, 2- La cantidad de alimento debe nutrir al animal lo suficiente como para que realice su propósito eficientemente, 3- El kilo de pienso tiene su valor y figura en las cuentas de la Empresa «X». Conclusión: al empleado/ganado no le pagan para dar paseitos (mentalmente ociosos) en la oficina/granja. El administrador de redes debe calcular exactamente cuál será la cantidad de bytes que los oficininstas engullen.
me parece muy bueno tu articulo, soy un novato en linux, que debo modificar para que la carga de youtube no sea demasiado lenta. gracias
muy bueno en verdad me sirvió bien , y lo estoy usando aunque tengo quejas de que el Internet esta muy lento pero si le digo en que paginas es hay cuando no me responden 😀
hola, en que parte deberia ir colocado del archivo de configuracion de squid lo que mencionas o es indistinto en que lugar vaya colocado?
Estimado he probado tus lineas dentro de mi squid para «cerrar la llave» a youtube y facebook.
El tema es que aun así tengo incluido «acl xxxx url_regex -i youtube» y «acl xxxx url_regex -i facebook» al mirar el tráfico no veo pasar nada…
será muy tonto lo que estoy preguntando pero no veo evidencias que la acl funcione.
sondeo el facebook y youtube y funcionan impecables siendo que baje a morir la tasa de descarga…
GRACIAS !!!
Prueba agregando esto:
googlevideo.com
akamaihd
fbcdn
youtu.be
Buenas a todos, en especial al creador del post, se que es de hace mas de un año y tal vez por eso no funciona, en fin, el problema esta en que cuando intento poner lento a youtube no me da 5 de pelota, segun estuve averiguando con colegas q son mucho mas avanzados que yo en el ambiente linux me dijeron que con squid se hace casi imposible monitorizar https pusto que viene encriptado incluso la url de la pagina, y es por eso que youtube pasa com un caño, administro la red de una universidad y el personal no docente vive en youtube escuchando musica, imaginen como cae el ancho de banda en la red, queria saber si alguien pudo hacerlo funcionar recientemente o si saben de algun metodo efectivo de hacerlo de forma transparente, gracias, un saludo.
Buenos dias, acabo de leer su post y me parece interesante son administrador de redes y necesito orientacion al respecto de como bloquear las webs youtbe y facebook y esta me parece la mejor manera. mi duda es Delay Pools debo instalarlo o ya esta instalado con el squid3 como verifico esto ??? De ante mano Gracias
Hola, el delay pool esta activo desde la version creo 2.6, ahora estoy usando la 3.2 y si vienen las opciones del delay. Al autor del post, muchas gracias por ayudarnos a los administradores de redes. Trabajo en una universidad y es un dolor de cabeza recibiendo llamadas de todos los usuarios diciendo que el internet esta lento. Lo que no se si se puede hacer despues es crear una lista de ips que si pueden tener acceso a youtube o redes sociales con una mayor velocidad de navegacion.
Hi,
Let’s say that you have any internal network 192.168.X.Y/24 and do you want that the internet goes slow for everyone that wants to access porn sites. How can we accommodate delay pools and specify all porn sites manually.
Thanks
Pablo
Otra consulta que tengo es que queria saber si has usado el squidguard para bloquear este tipo de paginas. Me he matado buscando en la red y he leido comentarios que el squidguard no ve el trafico https por lo que me es imposible bloquear estos accesos. Ya con esto me limita bastante pero hay usuarios que no deben tener youtube/facebook por nada del mundo. Gracias de antemano por darnos a los administradores de red tips para mejorar nuestra red 🙂
en verdad no puedo decir mas que estoy enormemente impresionado con las discuciones aqui presentada sobre un excelente post, de muy gran utilidad para nosotros. Mi experiencia como admin de red, aqui es la siguiente, antes por restricciones nacionales, no era permitido el acceso libre a loças redes sociales, como face, youtube, y otros sitios como gmail, hotmail, etc. pero la cuestoiion es uqe tengo un simple ancho de banda de 2mb y una cuota de 1gb al dia, para toda una institucion de investigacion y docencia de salud, imaginence como repartir, tan poco, con muchas personas añadiendo una sala de navegacion, con Clientes ligeros, los cuales el ancho de banda de por si no me llega los 2mb completos, de eso estamos claros. bueno que sucede al abrir, la posibilidad de acceder a mis ususarios se paasn el maldito dia en FB, YT, Gmail, hotmail, tec, inclusive tratando de descargar miles de cosas y cocmo es logico creandome caos en el ancho de banda por eso si creo justo lo que publico en este post con el delay pool, ahora hermano, yo se que tu eres conservador, y como todos dicen somos los malos de la pelicula, el hitler, pero dale una ayuda que solo naveguen con buena velocidad a la hora del almuerzo, y veras lo comico que sera todo, o van FB,etc o comen . jajajajajaj creo que comeran. asi lo implemente aqui y creeme, yo fui mas acesino, les puse a 8kb/s. y remedio santo.
Hasta aqui mi comentario, mis saludos y respetos desde cuba Erly.
Gracias por tu blog, ya hacia rato andaba buscando como hacer esto para lograr este cometido, estoy muy agradecido a ti usemoslinux….
Hola,
El post está bien pensado y el tema de los pools es algo interesante, pero lamentablemente el tema de los HTTPs es algo complicado y squid no lo maneja para nada bien. Esto se debe a que en términos de tráfico cuando se pide un sitio con HTTPs, el squid abre un CONNECT y no tiene referencias de él hasta que no se cierra. Por esta razón es que los pools no funcionan sobre ese tipo de conexiones cifradas.
Nosotros estamos probando una variante que parece que funciona, que es utilizando dos proxy + pools + cache_peers.
La idea es pasarle a un segundo proxy todos los sitios que queremos relentizar y a ese segundo proxy definirle un pool general para todo el tráfico que pase por él.
Saludos
Gracias loquillo, no lo he tomado de copy paste, pero me ha servido bastante para adaptarlo a mis configuraciones. Me ha funcionado perfectamente. Saludos!
Una pregunta amigo, el directorio /etc/squid/ no existe, este se crea al momento de la configuracion de squid o deberia estar alli? Saludos.
my bien explicado espero que revices los comentarios, cuando reinicio el squid me sale un error en la linea donde esta implementada la linea: acl usuarioslentos src…
No se que podra ser, mi server tiene habilitado el logeo no por IP ni MAC.
Saludos