[CentOS-pt-br] RES: Proxy squid lento

Gabriel O. Franca gabriel.franca em gmail.com
Terça Fevereiro 23 10:57:02 UTC 2016


Bom dia Leonardo,

Eu dividi a lista em alguns topicos para deixar ela menor acredito que a 
maior lista não tem 500 entradas.

E o DNS estou usando o do samba 4.

Atenciosamente,

Gabriel Franca


Em 23/02/2016 07:51, Leonardo Oliveira Ortiz escreveu:
>
> Já tive problemas de lentidão no Squid por causa de DNS e por listas 
> de acesso muito grandes (lista de malwares por exemplo).
>
> Minha sugestão inicial seria tirar as listas de acesso “grandes” e 
> testar. Também instale um BIND local para cache e use-o com o squid 
> para testes (ou defina um dns no squid.conf).
>
> Att.
>
> Leonardo Ortiz.**
>
> *De:*centos-pt-br-bounces em centos.org 
> [mailto:centos-pt-br-bounces em centos.org] *Em nome de *Gabriel O. Franca
> *Enviada em:* segunda-feira, 22 de fevereiro de 2016 21:57
> *Para:* centos-pt-br em centos.org
> *Assunto:* Re: [CentOS-pt-br] Proxy squid lento
>
> Então galera,
>
> Esse cliente e o que mais reclama mais sinto nos outros uma certa 
> lentidão também.
>
> O padrão e o CENTOS 7 do repositório versão 3.3.8 o servidor tem 4 GB 
> de memoria hd convencional e 45 máquinas ligadas a ele.
>
> Vi num poste que tinha que aumentar a quantidade de conexões pois o 
> centos limita sabem dizer se isso realmente e necessário ?
>
> Hoje eu uso 3 grupos um 1 grupo livre / 2 grupo restrito / 3 grupo 
> bloqueado (grupo 1 tudo liberado / grupo 2 tudo liberado menos a lista 
> negra / grupo 3 tudo travado apenas liberando a lista branca).
>
> Vou postar aqui para que olhem o tamanho do meu squid acredito que 
> tenha muita coisa que não seja necessária se puderem olhar e me dar 
> algumas dicas para termos uma melhora nele vou ser muito grato.
>
> # usuário que vai utilizar o squid
> cache_effective_user squid
> ## Squid normalmente escuta na porta 3128
> http_port 8080
> hierarchy_stoplist cgi-bin ?
> error_directory /usr/share/squid/errors/pt-br
> #nos recomendamos essas duas linhas.
> acl QUERY urlpath_regex cgi-bin \?
> cache deny QUERY
> # sinal do ETag responda corretamente no apache
> acl apache rep_header Server ^Apache
> #Padr√£o:
> cache_mem 2048 MB
> #altera a performance em conexões pipeline(paralelo)
> pipeline_prefetch on
> ##maximum_object_size_in_memory 128 KB
> ##maximum_object_size 4096 kb
> ##minimum_object_size 0 kb
> ##cache_swap_low 90
> ##cache_swap_high 95
> ##cache_dir ufs /cache 10000 128 256
> ##cache_replacement_policy heap LFUDA
> ##memory_replacement_policy heap GDSF
> ##store_dir_select_algorithm least-load
> access_log /var/log/squid/access.log squid
> ##cache_log /var/log/squid/cache.log
> ##cache_store_log /var/log/squid/store.log
> pid_filename /var/run/squid.pid
> auth_param ntlm program /usr/bin/ntlm_auth XXXXX.LOCAL/samba 
> --helper-protocol=squid-2.5-ntlmssp
> auth_param ntlm children 20
> auth_param ntlm keep_alive off
> auth_param basic program /usr/lib64/squid/basic_ldap_auth -R -b 
> "dc=XXXXX,dc=local" -D "cn=squid,ou=Users,dc=XXXXX,dc=local" -w 
> "Mudar2016" -f sAMAccountName=%s -h <XXX.XX.XX.4 lx-server>
> auth_param basic children 5
> auth_param basic realm Senha da Internet
> auth_param basic credentialsttl 2 hours
> #ACLS EXTERNA PARA AUTENTICACAO NAS BASES LDAP DO PDC
> external_acl_type NT_group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
>
> #sugestao padrao:
>
> refresh_pattern ^ftp:          1440    20%     10080
> refresh_pattern ^gopher:       1440    0%      1440
> refresh_pattern -i (/cgi-bin/|\?) 0    0%      0
> refresh_pattern .              0       20%     4320
> #configuração minima:
> acl rede_local src fc00::/7   # RFC 4193 local private network range
> acl rede_local src fe80::/10  # RFC 4291 link-local (directly plugged) 
> machines
> acl SSL_ports port 443
> acl SSL_ports port 1863
> acl Safe_ports port 81          #http
> acl Safe_ports port 1863
> acl Safe_ports port 80          # http
> acl Safe_ports port 21          # ftp
> acl Safe_ports port 443         # https
> acl Safe_ports port 70          # gopher
> acl Safe_ports port 210         # wais
> acl Safe_ports port 1025-65535  # unregistered ports
> acl Safe_ports port 280         # http-mgmt
> acl Safe_ports port 488         # gss-http
> acl Safe_ports port 591         # filemaker
> acl Safe_ports port 777         # multiling http
> acl safe_ports port 1025-65535  #unregistered portsx
> acl safe_ports port 8081        #rastreamento
> acl purge method PURGE
> acl CONNECT method CONNECT
> acl autenticacao proxy_auth REQUIRED src XXX.XX.XX.0/24
> acl grupo_livre external NT_group grp-int-livre
> acl grupo_restrito external NT_group grp-int-rest
> acl grupo_bloqueado external NT_group grp-int-bloq
> acl sites_proibidos dstdomain -i "/root/gerencia/squid/sites_proibidos"
> acl sites_permitidos dstdomain -i "/root/gerencia/squid/sites_permitidos"
> acl sites_eroticos url_regex -i "/root/gerencia/squid/sites_eroticos"
> acl palavras_proibidas url_regex -i 
> "/root/gerencia/squid/palavras_proibidas"
> acl Browsers browser "/root/gerencia/squid/browsers"
> acl sites_webproxy dstdomain -i "/root/gerencia/squid/sites_webproxy"
> acl Mimes_req req_mime_type -i "/root/gerencia/squid/mimes_proibidos"
> acl Mimes_rep rep_mime_type -i "/root/gerencia/squid/mimes_proibidos"
>
> ###############################################################
> # LIBERA O JAVA
> # Java não funciona com Autenticacao NTLM
> ###############################################################
>
> acl java browser Java
> http_access allow java
>
> ###############################################################
> # LIBERA iTUNES sem Autenticacao
> ###############################################################
>
> acl itunes dstdomain -i .apple.com
> http_access allow iTUNES
> ###############################################################
> # LIBERA GMAIL sem Autenticacao
> ###############################################################
>
> acl google dstdomain -i .google.com
> acl gstatic dstdomain -i .gstatic.com
> http_access allow google
> http_access allow gstatic
>
> ###############################################################
> ###############################################################
> # LIBERA ITAU
> ###############################################################
>
> acl Itau dstdomain -i itau.com.br
> http_access allow CONNECT Itau
>
> ################################################################
> ## Libera Sites sem Autenticacao
> ################################################################
>
> acl Sites_UnAuth dstdomain -i "/root/gerencia/squid/sites_unauth"
> http_access allow Sites_UnAuth
>
> #################################################################
> ## Bloqueia / Libera navegacao com IP na URL
> #################################################################
>
> acl Deny_URL_IP dstdom_regex [0-9]+\.[0-9]+\.[0-9]+\.[0-9]+
> acl Libera_URL_IP dstdomain "/root/gerencia/squid/libera_url_ip"
>
> # somente permitir cachemgr acessar do localhost
> http_access allow manager localhost
> http_access deny manager
> http_access allow purge localhost
> http_access deny purge
>
> # Probir solictação de portas desconhecidas
> http_access deny !Safe_ports
>
> # Proibir CONNECT para outros usando SSL ports
> http_access deny CONNECT !SSL_ports
>
> # Coloque suas regras aqui
> http_access allow grupo_livre
> http_access deny Browsers
> # ACL PARA O GRUPO RESTRITO
> http_access deny sites_proibidos !sites_permitidos
> http_access deny sites_eroticos
> http_access deny sites_webproxy
> http_access deny palavras_proibidas
> http_access deny Deny_URL_IP !Libera_URL_IP
> http_reply_access deny Mimes_req
> http_reply_access deny Mimes_rep
> #http_access deny extban
> http_access allow grupo_restrito
>
> #ACL PARA O GRUPO BLOQUEADO
> http_access deny all !sites_permitidos
> http_access allow grupo_bloqueado
> http_access allow autenticacao
>
> #E finalmente proibir todas outras tentativas de acesso a esse proxy
> http_access allow localhost
> http_access deny all
> http_reply_access allow all
>
> #Permitir consultas ICP de qualquer um
> icp_access allow all
> visible_hostname proxy
>
> #pasta onde esta os arquivos do cache
> coredump_dir /cache
>
> #servidores dns usados pelo squid
> dns_nameservers XXX.XX.XX.4
> #dns_nameservers 8.8.8.8
> #dns_nameservers 8.8.4.4
>
> ###############################################################################
> #
> # ADMINISTRATIVE PARAMETERS
> #
> ###############################################################################
>
>  cache_mgr suporte em XXXXX.com.br <mailto:suporte em XXXXX.com.br>
>  mail_from suporte em XXXXX.com.br <mailto:suporte em XXXXX.com.br>
>  mail_program mail
>
> ###############################################################################
> #
> # ERROR PAGE OPTIONS
> #
> ###############################################################################
>
>  error_directory /usr/share/squid/errors/pt-br
>  err_page_stylesheet /etc/squid/errorpage.css
>  err_html_text mailto:gabriel em XXXXX.com.br
>
>
>
> Atenciosamente,
>
> Gabriel Franca
>
>
> Em 22/02/2016 20:50, Rodrigo Maia escreveu:
>
>     É um cliente isolado ou vários se for isolado veja os passivos da
>     rede.  O squid tem uma regra ao se criar o repositório de cache
>     outra coisa interessante é declarar os dns servers por meio das
>     strings do proprio squid no Conf dele.
>
>     Desculpe o jeito postado do móvel e em aula.  Boa sorte!
>
>     On Feb 22, 2016 4:53 PM, "Greyson Farias" <greysonsilva em gmail.com
>     <mailto:greysonsilva em gmail.com>> wrote:
>
>         É bom revisar as configurações do Squid. Alguma ACL pode estar
>         ocasionando a lentidão. Dar uma monitorada com o IOTOP para
>         verificar se não é algo no disco rígido, verificar com o HTOP
>         como está o consumo de CPU também é recomendado.
>
>
>         *Greyson Farias da Silva*
>         Técnico em Operação de redes - CREA/AC 9329TD
>         Eu prefiro receber documentos em ODF
>         <http://pt.wikipedia.org/wiki/OpenDocument>.
>         http://about.me/greysonfarias
>
>         Em 22 de fevereiro de 2016 14:46, Gabriel O. Franca
>         <gabriel.franca em gmail.com <mailto:gabriel.franca em gmail.com>>
>         escreveu:
>
>             Boa Tarde Pessoal.
>
>             Estou com um cliente reclamando de lentidão no proxy.
>
>             Estou usando um centos 7 o squid e o do repositório padrão.
>
>             Em alguns casos o cliente reclama e como não está tendo
>             consumo exagerado de link eu vou lá e reinicio o squid e
>             normaliza o acesso.
>
>             alguém já passou por isso ?
>
>             Atenciosamente,
>
>             Gabriel Franca
>             _______________________________________________
>             CentOS-pt-br mailing list
>             CentOS-pt-br em centos.org <mailto:CentOS-pt-br em centos.org>
>             https://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
>         _______________________________________________
>         CentOS-pt-br mailing list
>         CentOS-pt-br em centos.org <mailto:CentOS-pt-br em centos.org>
>         https://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
>
>
>     _______________________________________________
>
>     CentOS-pt-br mailing list
>
>     CentOS-pt-br em centos.org <mailto:CentOS-pt-br em centos.org>
>
>     https://lists.centos.org/mailman/listinfo/centos-pt-br
>
>
>
> _______________________________________________
> CentOS-pt-br mailing list
> CentOS-pt-br em centos.org
> https://lists.centos.org/mailman/listinfo/centos-pt-br

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.centos.org/pipermail/centos-pt-br/attachments/20160223/3a51a5fd/attachment.html>


Mais detalhes sobre a lista de discussão CentOS-pt-br