Настройка браузера на компьютере пользователя

Для того, чтобы веб-прокси смог фильтровать трафик пользователей, этот трафик должен проходить через веб-прокси. Существует несколько способов настройки веб-прокси на компьютерах пользователей.

Настройка веб-прокси вручную

Веб-прокси использует порт 3128 для проксирования HTTP, HTTPS (метод CONNECT) и FTP (метод GET).

Для настройки браузера, зайдите в сетевые настройки и укажите адрес и порт прокси-сервера. Убедитесь, что IP-адрес веб-прокси прописан в исключениях.

На следующем изображении пример настройки прокси-сервера в веб-браузере Internet Explorer 1.

_images/proxy_settings1.png
1

Настройки различных браузеров могут отличаться. В случае необходимости обратитесь к документации используемого браузера.

Примечание

Многие браузеры под управлением ОС Windows могут принимать настройки прокси-сервера из настроек Internet-Explorer.

Автоматическая настройка веб-прокси с помощью групповых политик Active Directory

Если используется доменная среда Active Directory, то настройки веб-прокси можно распространять на клиентские компьютеры с помощью групповых политик.

Примечание

Для настройки веб-прокси с помощью групповых политик, воспользуйтесь соответствующим разделом документаци к используемуму у вас контроллеру домена или помощью специалиста, ответственного на настройку групповых политик в вашей организации.

Автоматическая настройка веб-прокси с помощью протокола автоматической настройки прокси

Данный механизм подразумевает использование протокола автоматической настройки прокси (WPAD)

Traffic Inspector Next Generation имеет поддержку данного протокола.

В случае использования встроенной поддержки протокола автоматической настройки прокси, обратитесь к соответствующему разделу документации.

Настройка прозрачного проксирования

Прокси-сервер Traffic Inspector Next Generation поддерживает работу в прозрачном режиме.

Смысл «прозрачного проксирования» заключается в том, что пользователи не имеют явных настроек на веб-прокси, но тем не менее их трафик все равно будет перехвачен и попадет на веб-прокси.

Настройка прозрачного проксирования описана в разделе Прозрачное проксирование.

Настройки на устройстве Traffic Inspector Next Generation

Перед тем, как переходить к настройкам фильтрации, осуществите базовую настройку веб-прокси в соответствии с инструкцией Базовые настройки веб-прокси.

Запрет работы в обход веб-прокси

Фильтрация трафика осуществляется при его обработке веб-прокси сервером. Если пользователи будут иметь возможность работать в обход веб-прокси, то правила прокси не будут применены.

Для того, чтобы запретить обращение пользователей в Интернет в обход веб-прокси, произведите следующие действия.

Пройдите в Межсетевой экран -> Правила на вкладку LAN и создайте два правила со следующими настройками:

Правило для блокировки HTTP-трафика, идущего мимо прокси

Действие

Блокировка

Интерфейс

LAN

Протокол

TCP

Источник

LAN net

Диапазон портов назначения

HTTP

Описание

Блокировка HTTP-трафика мимо прокси

Правило для блокировки HTTPS-трафика, идущего мимо прокси

Действие

Блокировка

Интерфейс

LAN

Протокол

TCP

Источник

LAN net

Диапазон портов назначения

HTTPS

Описание

Блокировка HTTPS-трафика мимо прокси

Traffic Inspector Next Generation имеет ряд преднастроенных правил, которые разрешают любое обращение в Интернет со стороны внутренней локальной сети. Для того, чтобы новые правила применялись, их нужно разместить до преднастроенных правил. Расположите правила в порядке, указанном на скриншоте:

_images/block_proxy_bypass.png

Сохраните и примените изменения.

Расширинная фильтрация веб-прокси.

Основным механизмом фильтрации веб-прокси является использование плагина os-proxy-useracl, который предлагает расширенный функционал по фильтрации с использованием:

  • различных списков доступа (пользователи, группы, домены источника/назначения и др.)

  • выборочной фильтрации контента с использованием протокола ICAP

  • распределения запросов по исходящим каналам

Для использования расширенной фильтрации веб-прокси необходимо установить плагин os-proxy-useracl.

Установка плагина os-proxy-useracl

Для работы с пользовательскими и групповыми списками нужно установить плагин os-proxy-useracl.

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-useracl для его установки.

После установки плагина os-proxy-useracl, в разделе Службы -> Веб-прокси появляется подраздел ACL на пользователей и группы.

Создание списков фильтрации.

Предварительно необходимо создать списки, которые будут в дальнейшем использоваться для создания правил фильтрации.

Поддерживается следующие типы списков:

  • Пользователи и группы - здесь можно составить списки пользователей и групп как локальных (прописанных на устройстве TING), так и пользователей и групп с настроенным методом аутентификации LDAP или Kerberos (в домене Active Directory). 2

    Для создания данного списка необходимо ввести описательное имя для этого списка, имя, как оно прописано в локальной базе или базе LDAP/Active Directory, указать тип данного списка Пользователь или Группа и выбрать метод аутентификации - Local Database (локальная база) либо другая, созданная ранее.

    _images/proxy_acl_list_user_group.png
2

Настройка LDAP-коннектора описана в разделе Настройка аутентификации в Active Diretory через LDAP на прокси.

Примечание

Применительно к функционалу доменных списков, LDAP используется для проверки существования пользователя или группы в момент создания списка доступа, и для установления принадлежности пользователя к доменной группе в процессе работы списка доступа.

Предупреждение

При работе с Microsoft AD существует проблема поиска пользователя в первичной группе (как правило, это группа Users либо Пользователи домена). Это приводит к тому, что правило, созданное для этой группы не работает.

  • MAC-адреса - список доступа, основанный на физическом адресе сетевого адаптера подключаемого устройства.

    Для создания данного списка необходимо ввести описательное имя для этого списка и mac-адрес в формате XX:XX:XX:XX:XX:XX 3

    _images/proxy_acl_list_mac.png
3

используйте запятую или Enter для нового элемента, в это поле также можно вставить список, разделенный запятыми.

  • Сети источника - список доступа, основанный на IP адресе сетевого адаптера подключаемого (подключаемых) устройств.

    Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес источника (допускается указание одиночных IP-адресов и IP-сетей):

    192.168.1.77
    192.168.1.0/24
    
    _images/proxy_acl_list_source_net.png
  • Сети назначения - список доступа, основанный на IP адресе ресурса, к которому необходимо управлять доступом.

    Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес ресурса (допускается указание одиночных IP-адресов и IP-сетей):

    192.168.1.77
    192.168.1.0/24
    
    _images/proxy_acl_list_dst_net.png
  • Домены - список доменов ресурсов, к которым необходимо управлять доступом.

    Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать домен (домены).

    При установке флажка Регулярное выражение информацию необходимо вводить в формате регулярных выражений.

    _images/proxy_acl_list_domain.png
  • Browser/user-agents

    Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать user-agent используемого браузера, доступ с которого необходимо регулировать в формате регулярных выражений.

    _images/proxy_acl_list_useragent.png
  • MIME типы - список MIME типов контента доступ к которому необходимо регулировать. Плагин имеет уже предварительно сконфигурированный список, который вы можете дополнить своими записями.

    _images/proxy_acl_list_mimetype.png
  • Расписания - список расписаний, с помощью которых можно будет настроить/ограничить доступ к ресурсам в течение указанного промежутка времени и по дням недели.

    _images/proxy_acl_list_timerange.png
  • Удалённые списки контроля доступа - подключаемые удалённые списки, которые формируются вами либо третьей стороной на отдельном ресурсе и могут быть использованы в правилах блокировки и разрешения доступа.

    В настройках присутствуют три преустановленных списка доступа:

    • Блокировка рекламы от https://pgl.yoyo.org/adservers

    • Список IP Роскомнадзора

    • Список URL Роскомнадзора

    Вы можете добавить свой список, нажав кнопку +

    Имя файла

    имя файла (как файл будет называться в устройстве TING)

    URL

    URL адрес загрузки списка доступа

    имя пользователя

    необязательное поле в случае использования парольного подключения.

    пароль

    необязательное поле в случае использования парольного подключения.

    Игнорировать сертификаты SSL

    игнорировать проверку SSL-сертификата для самоподписанных сертификатов.

    Тип чёрного списка

    Поддерживается три формата списков: Домены, URL-адреса, IP адреса 4

    Описание

    описание списка

    4

    Формат файлов - по одному значению в строке. Строки, начинающиеся с # - игнорируются.

    _images/proxy_acl_list_remotelists.png

    После добавления записи с удаленным списком, его необходимимо скачать, нажав кнопку Скачать списки контроля доступа либо Скачать списки контроля доступа и применить.

    Примечание

    Также можно создать задачу в планировщике заданий для периодического обновления (скачивания) удаленных списков, нажав соответствующую кнопку Запланировано с помощью планировщика задач Cron .

Создание правил фильтрации

Правила фильтрации используют списки, созданные на этапе Создание списков фильтрации.

Примечание

Правила обрабатываются по порядку. Обработка правил прекращается при первом совпадении.

Для создания правил перейдите в меню Службы: Веб-прокси: ACL на пользователей и группы -> Правила

Поддерживаются правила следующих видов:

  • HTTP access - правила предоставления/ограничения доступа.

  • SSL Bump - правила исключений для операций SSL Bump.

  • ICAP - правила управления обработкой ICAP.

  • TCP Outgoing Address - правила маршрутизации исходящих запросов средствами прокси-сервера.

Для создания правила предоставления/ограничения доступа необходимо создать правило фильтрации и заполнить необходимые атрибуты :

_images/acl_rule_create.png

Для создания правила исключения операций SSL Bump, необходимо создать правило исключения и заполнить необходимые атрибуты :

_images/acl_rule_SSLBump_exclude.png

Для создания правила исключения обработки ICAP (чаще всего антивирус), необходимо создать правило и заполнить необходимые атрибуты :

_images/acl_rule_ICAP_exclude.png

Для создания правила, согласно которому прокси-сервер будет осуществлять те либо иные исходящие запросы с использованием указанного IP адреса, необходимо создать правило исключения и заполнить необходимые атрибуты :

Внимание

Используемый IP адрес должен быть настроен в системе.

_images/acl_rule_outgoing_TCP.png

Атрибуты правил фильтрации.

  • Черный/Белый - Запрещающее (Черный) или разрешающее (Белый) правило.

  • Приоритет - Порядок обработки. По умолчанию вновь созданному правилу присваивается приоритет 0 (наивысший - правило обрабатывается первым) и оно располагается в начале списка. В дальнейшем вы можете двигать правила вверх/вниз тем самым меняя порядок обработки правил. Также вы можете менять приоритет в самом правиле.

    Примечание

    Если номер правила совпадет с существующим, оно займет место существующего, сдинув последнее вниз по списку.

  • Пользователь/Группа - Выберите список пользователей/групп, которые будут обрабатываться в данном правиле.

  • Домены - Выберите список доменов, которые будут обрабатываться в данном правиле.

  • Netpolice - Выберите списки Netpolice, которые будут обрабатываться в данном правиле. 5

  • IP-адреса источника - Выберите список адресов сетей источника, которые будут обрабатываться в данном правиле.

  • IP-адреса назначения - Выберите список адресов сетей назначения, которые будут обрабатываться в данном правиле.

  • Browser/user-agents - Выберите список юзер-агентов браузеров, которые будут обрабатываться в данном правиле.

  • Расписания - Выберите список расписаний, которые будут обрабатываться в данном правиле.

  • MIME типы - Выберите список MIME ресурсов, которые будут обрабатываться в данном правиле.

  • MAC-адреса - Выберите список MAC адресов, которые будут обрабатываться в данном правиле.

  • Удаленные списки контроля доступа - Выберите удаленный список, который будет обрабатываться в данном правиле.

Примечание

Не обязательно задавать все поля. Правило «срабатывает» только в том случае, когда все критерии, заданные в нем совпадают.

5

Netpolice - система контентной фильтрации, разрабатываемая Центром анализа интернет-ресурсов. Для использования в фильтрах списков Netpolice необходимо наличие установленной лицензии.

Базовая фильтрация веб-прокси.

Функционал данной фильтрации не требует установки дополнительных плагинов в систему, однако обладает меньшим функционалом, чем Расширинная фильтрация веб-прокси. и ее использование целесообразно только в тех случаях, когда функционал расширенной фильтрации не требуется.

Предупреждение

Во избежание конфликтов, не рекомендуется одновременная настройка и использование базовой и расширенной фильтрации.

Поддерживаемые типы фильтрации

Веб-прокси Squid поддерживает широчайшие возможности фильтрации по различным критериям. В настоящее время, через веб-интерфейс Traffic Inspector Next Generation можно управлять следующими типами фильтрации:

Примечание

Ниже описывается ввод различных значений в текстовые поля веб-интерфейса. Не забывайте нажимать клавишу Enter после ввода каждого элемента или ставить запятую после каждого элемента. В противном случае, элемент не будет добавлен в поле.

  • Фильтрация по IP-адресам

    Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом.

    _images/acl_ip.png

    Ниже описывается ввод IP-адресов в текстовые поля. Допускается указание одиночных IP-адресов и IP-сетей:

    192.168.1.77
    192.168.1.0/24
    

    В поле Разрешенные подсети можно задать сети, из которых разрешено работать через веб-прокси. Сети, к которым шлюз подключен через LAN-адаптеры, считаются разрешенными по умолчанию.

    В поле IP-адреса без ограничений можно задавать IP-адреса хостов. Для пользователей, работающих с данных IP-адресов, не будут применяться аутентификация и черные списки доступа.

    В поле Заблокированные IP-адреса можно задавать IP-адреса хостов. Запрещенный хост не сможет пользоваться услугами данного прокси.

  • Фильтрация по портам назначения

    Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом, поле Разрешенные TCP-порты назначения.

    _images/acl_ports.png

    При указании портов, можно использовать диапазоны, например:

    222–226
    

    И добавлять комментарии, разделяемые двоеточием, например:

    22:ssh
    

    Примечание

    Squid преднастроен таким образом, что разрешает проксирование запросов только к некоторому множеству портов, считающихся безопасными (указаны на скриншоте). Проксирование SSL/TLS-соединений методом CONNECT разрешено только для порта TCP/443.

  • Фильтрация по типу User Agent (по типу браузера)

    Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом, поле Блокировать browser/user-agent строки.

    _images/acl_useragent.png

    При указании User Agent строк, можно использовать синтаксис регулярных выражений.

    Регулярное выражение:

    ^(.)+Macintosh(.)+Firefox/37\.0
    

    даст совпадение с версией Firefox revision 37.0 для Macintosh

    Регулярное выражение:

    ^Mozilla
    

    даст совпадение с всеми браузерами на базе Mozilla

  • Фильтрация по типу контента (по MIME-типам)

    Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом, поле Блокирировать ответы с конкретным MIME-типом.

    _images/acl_mime.png

    MIME-тип можно указывать в синтаксисе регулярных выражений.

    Регулярное выражение:

    video/flv
    

    даст совпадение с Flash Video

    Регулярное выражение:

    application/x-javascript
    

    даст совпадение с Java-скриптами

  • Фильтрация по URL (по общим белым и черным спискам)

    Порядок обработки списков

    При использовании базовой фильтрации, Traffic Inspector Next Generation предусматривает несколько списков доступа для нужд фильтрации по URL.

    Списки, используемые для разрешения доступа, называются белыми. Списки, используемые для запрещения доступа, называются черными.

    Поддерживаются удаленные списки, т.е. списки, скачиваемые по сети с определенного URL.

    Для понимания результирующей политики доступа, важно знать о порядке обработки списков:

    1. общий белый список

    2. общий чёрный список

    3. скачиваемые чёрные списки

    Синтаксис регулярных выражений в списках

    При указании URL в списках можно использовать синтаксис регулярных выражений, например:

    Регулярное выражение:

    mydomain.com
    

    даст совпадение с URL *.mydomain.com

    Регулярное выражение:

    ^https?:\/\/([a-zA-Z]+)\.mydomain\.
    

    даст совпадение с URL http(s)://textONLY.mydomain.*

    Регулярное выражение:

    \.gif$
    

    даст совпадение с *.gif но не с *.giftest

    Регулярное выражение:

    \[0-9]+\.gif$
    

    даст совпадение с 123.gif но не с test.gif


    Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом.

    _images/acl_global.png

    В поле Белый список можно задать URL разрещенных ресурсов.

    В поле Черный список можно задать URL запрещенных ресурсов.

    Примечание

    Общий белый список имеет приоритет перед общим черным списком.

  • Фильтрация по скачиваемым спискам

    Рассмотрим пример фильтрации рекламы с помощью скачиваемого списка.

    Для данного примера мы используем список, доступный по адресу: http://pgl.yoyo.org/adservers/serverlist.php?hostformat=nohtml

    Список представляет собой простой текстовый файл, который выглядит следующим образом:

    101com.com
    101order.com
    123found.com
    180hits.de
    180searchassistant.com
    207.net
    247media.com
    24log.com
    24log.de
    24pm-affiliation.com
    2mdn.net
    2o7.net
    360yield.com
    ...
    

    Пройдите в Службы -> Веб-прокси -> Администрирование и кликните на вкладку Удаленные списки контроля доступа. Далее, кликните на + в нижнем правом углу формы для создания нового списка. Укажите следующие значения:

    Включен

    Флажок установлен

    Имя файла

    yoyoads

    URL

    http://pgl.yoyo.org/adservers/serverlist.php?hostformat=nohtml

    имя пользователя

    (оставить пустым)

    пароль

    (оставить пустым)

    категории

    (оставить пустым)

    Игнорировать сертификаты SSL

    (оставить пустым)

    Описание

    Yoyo Ads Blacklist

    Сохраните изменения.

    Нажмите Скачать списки контроля доступа и применить.

    Настройка фильтрации рекламы с помощью скачиваемого списка завершена.

    Фильтрация нежелательных категорий сайтов

    Рассмотрим пример фильтрации нежелательных категорий сайтов с помощью скачиваемого списка.

    Для данного примера мы используем Список для веб-категоризации UT1, поддерживаемый Фабрисом Прижаном из Тулузского университета и распространяемый под лицензией Creative Commons либо список http://www.shallalist.de, бесплатный для личного использования.

    Создайте скачиваемый список.

    Нажмите Скачать списки контроля доступа

    Повторно откройте созданный список на редактирование.

    В разделе категории выберите необходимые категории.

    _images/acl_remote_categories.png

    Нажмите кнопку Сохранить

    Нажмите кнопку Применить

Ограничение скорости веб-прокси.

Данный функционал позволяет настроить ограничение скорости доступа к ресурсам Интернет и доступен только при настроенном режиме Расширинной фильтрации веб-прокси.

Примечание

Данная настройка ограничивает скорость веб-прокси только при незашифрованном трафике http://

Настройка ограничения скорости веб-прокси для шифрованного трафика https:// требует настройки перехвата и дешифровки HTTPS-соединений (SSL Bump)

Для настройки ограничения скорости перейдите в Службы -> Веб-прокси -> ACL на пользователей и группы

Перейдите на вкладку Правила -> Ограничение скорости

Для создания правила ограничения скорости, необходимо создать правило и заполнить необходимые атрибуты по аналогии с правилами фильтрации :

  • Класс - Класс ограничения скорости. 6

  • Приоритет - Порядок обработки.

  • Пользователь/Группа - Выберите список пользователей/групп, которые будут обрабатываться в данном правиле.

  • Домены - Выберите список доменов, которые будут обрабатываться в данном правиле.

  • IP-адреса источника - Выберите список адресов сетей источника, которые будут обрабатываться в данном правиле.

  • IP-адреса назначения - Выберите список адресов сетей назначения, которые будут обрабатываться в данном правиле.

  • Browser/user-agents - Выберите список юзер-агентов браузеров, которые будут обрабатываться в данном правиле.

  • Расписания - Выберите список расписаний, которые будут обрабатываться в данном правиле.

  • MIME типы - Выберите список MIME ресурсов, которые будут обрабатываться в данном правиле.

  • MAC-адреса - Выберите список MAC адресов, которые будут обрабатываться в данном правиле.

  • Удаленные списки контроля доступа - Выберите удаленный список, который будет обрабатываться в данном правиле.

6

Имеется четыре класса ограничения скорости, предоставляющие разный функционал. Настройте необходимый вам.

  • 1 класс

    В поле Общая укажите скорость (Байт/с), которая будет выделена на весь трафик, который подпадает под заданные критерии фильтра.

    К примеру, если вы создадите подобное правило для IP-адреса назначения = 8.8.8.8, то вся загрузка информации с данного ресурса будет ограничена заданной вами скоростью.

  • 2 класс

    В поле Общая укажите скорость (Байт/с), которая будет выделена на весь трафик, который подпадает под заданные критерии фильтра.

    В поле Индивидуальная укажите скорось (Байт/с), которая будет выделена на индивидуальный хост (маска подсети начиная от /24 и заканчивая /32 - сети класса С).

    Таким образом, вы можете помимого общего ограничения скорости закачки на всех задать еще и индивидуальную скорость каждому хосту в вашей локальной сети, чтобы избежать возможного занятия всей полосы пропускания одним хостом (ПК).

    К примеру, если вы создадите подобное правило для IP-адреса назначения = 8.8.8.8, зададите общее ограничение скорости 20000, а индивидуальное 5000, то каждому из хостов (ПК) вашей локальной сети будет выделена полоса пропускания 5000 Байт/с. даже, если общая полоса будет свободна и общим ограничением на всех 20000 Байт/с.

  • 3 класс

    В поле Общая укажите скорость (Байт/с), которая будет выделена на весь трафик, который подпадает под заданные критерии фильтра.

    В поле Индивидуальная укажите скорось (Байт/с), которая будет выделена на индивидуальный хост (маска подсети начиная от /24 и заканчивая /32 - сети класса С).

    В поле Сеть укажите скорось (Байт/с), которая будет выделена на подсеть (маска подсети начиная от /17 и заканчивая /24 - сети класса В).

    Таким образом, вы можете помимого общего ограничения скорости закачки на всех задать еще и скорость на всю подсеть (если ваш прокси-сервер обслуживает несколько подсетей) и индивидуальную скорость каждому хосту в вашей локальной сети, чтобы избежать как возможного занятия всей полосы пропускания одним хостом (ПК), так и возможного занятия всей полосы пропускания одной из подсетей.

    К примеру, если вы создадите подобное правило для IP-адреса назначения = 8.8.8.8, зададите общее ограничение скорости 50000, индивидуальное 5000, а сеть 20000, то каждому из хостов (ПК) вашей локальной сети будет выделена полоса пропускания 5000 Байт/с. даже, если общая полоса будет свободна, общим ограничением на подсеть, в которой находятся хосты (ПК) в 20000 Байт/с, и общим ограничнием на всех 50000 Байт/с.

  • 4 класс

    Данный класс совпадает по своим параметрам/настройке с 3 классом, кроме того, что у него еще есть возможность ограничения скорости для пользователя. 7

    К примеру, если вы создадите подобное правило для IP-адреса назначения = 8.8.8.8, зададите общее ограничение скорости 50000, индивидуальное (для хоста) 5000, сети 20000 и Пользователя 3000, то каждому из хостов (ПК) вашей локальной сети будет выделена полоса пропускания 5000 Байт/с. даже, если общая полоса будет свободна, общим ограничением на подсеть, в которой находятся хосты (ПК) в 20000 Байт/с, общим ограничнием на всех 50000 Байт/с и кроме того для каждого аутентифицированного пользователя в 3000 Байт/с.

    7

    Таким образом для того, чтоб данный класс работал, необходимо, чтоб была настроена аутентификация пользователей.

Примечание

Если какое-либо из значений скорости не указано, то ограничения скорости по данному критерию нет (без ограничения).

Таким способом вы можете создавать правила ограничения скорости, к примеру, только по хостам (ПК) или пользователям, без общего ограничения скорости.