+ Responder ao Tópico



  1. #1

    Thumbs down Squid 2.6 muito lento depois de um tempo ativo

    E ai pessoal blz?

    Tenho o SUSE 10 aqui com o squid 2.6 transparente, e depois de uns 10 minutos de execusão do serviço a internet fica muitooo lenta, eu tenho um link de 2MB e depois da lentidão fica +/- uns 30K de conexão.

    Servidor Dell com 2GB de RAM e 250GB de HD.


    Segue abaixo meu squid.conf

    Código :
     http_port 3128 transparent
     visible_hostname SERVER
     debug_options ALL, 1
     
    #Cache
     
     cache_mem 256 MB
     cache_dir aufs /var/spool/squid 20000 32 256
     cache_access_log /var/log/squid/access.log
     cache_log /var/log/squid/cache.log
     cache_store_log /var/log/squid/store.log
     maximum_object_size 16 MB
     minimum_object_size 0 KB
     
    # Regras de ACl's
    acl expediente time MTWHF 6:30-18:00
    acl ipsdiretoria src "/etc/squid/liberados/ipsdiretoria.txt"
    acl bloqueados url_regex -i "/etc/squid/bloqueados/block.txt"
    acl liberados url_regex -i "/etc/squid/liberados/unblock.txt"
    acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpeg$ \.ogg$ \.pls$ \.mp4$ \.mpg$ \.src$
    acl proibir_musica2 urlpath_regex -i \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.mid$ \.midi$ \.rmi$
    acl rede_interna src 192.169.0.0/16
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
     
    # Regras de Acessos
      http_access deny !Safe_ports
      http_access deny CONNECT !SSL_ports
      http_access allow ipsdiretoria
      http_access deny portaria
      http_access deny proibir_musica
      http_access deny proibir_musica2
      http_access allow laboratorio expediente
      http_access deny laboratorio
      http_access deny rede_interna !liberados

    Minha partição /var tem 50GB... e não faço ideia do que esta acontecendo...alguma dica?

    abs

  2. #2

    Padrão

    Estranho, teu cache é meio grande tambem... 20 GB, esse HD é SATA neh??

    Eu uso aqui a outra modalidade de acesso ao cache... o aufs é um pouco lento ate onde eu me recordo... eu uso o diskd. veja no documentacao do squid.

    Outro problema do cache ser muito grande é o tempo que ele demora percorrendo o cache... voce nao quer que ele demore mais tempo para tirar do disco do que da internet né?

    Da uma olhada nisso talvez ajude, de resto seu squid parece bem leve

  3. #3

    Padrão

    Olá, boa tarde!

    Sim meu HD é SATA2, vou dar uma olhada nesse diskd.

    Vou diminuir o cache para 10GB, mas o problema é que quando eu reinicio o servidor ele fica durante um tempo uma beleza, depois volta a lentidão!

    Abs e obrigado.

  4. #4

    Padrão

    Qual é o tamanho dos arquivos que envolvem url_regex? Pelo hardware que voce apresenteu o seu processador deve ser n minimo um Pentium D, então nao acredito que isso seja um problema.


    Como esta particionando o seu linux?

  5. #5

    Padrão

    Então o tamanho do arquivo é pequeno pois a internet é toda bloqueada e liberado só alguns sites...

    O processador é um Pentium D.

    as partições estão assim:

    obs: sou iniciante em linux e estou usando o webmin!

    http://img407.imageshack.us/img407/5143/linux1lk1.jpg
    http://img407.imageshack.us/img407/3411/linuxpw6.jpg

  6. #6

  7. #7

    Padrão

    Bom dia!! estou desde semana passada quebrando a cabeça com isso e acho que encontrei o problema...

    Se eu deixar as acl´s "diretoria" e "liberados" no squid.conf o acesso vai ficando lento e em menos de 10 minutos minha conexão fica horrivel..agora só estou com a acl "liberados" e o acesso está ótimo.

    O que poderia ser?

    Segue meu squid.conf atual.

    *******************************************

    http_port 3128
    visible_hostname LATSVNET001

    dns_nameservers 192.169.0.100
    dns_nameservers 200.153.0.68
    dns_nameservers 200.153.0.196

    #Cache
    cache_mem 256 MB
    cache_dir ufs /var/spool/squid 5000 20 256
    maximum_object_size 16 MB
    minimum_object_size 0 KB

    # Regras de ACl's
    #acl ipsdiretoria src "/etc/squid/liberados/ipsdiretoria.txt"
    acl liberados url_regex -i "/etc/squid/liberados/unblock.txt"
    acl rede_interna src 192.169.0.0/16
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT

    # Regras de Acessos
    #http_access allow ipsdiretoria
    http_access deny rede_interna !liberados
    http_access allow rede_interna

    ******************************************

  8. #8

    Padrão

    estranho, qual o conteudo dos arquivos?

  9. #9

    Padrão

    Mais ou menos isso aqui...são os sites liberados.

    Na empresa utilizamos a politica de bloquear tudo e liberar apenas alguns sites..



    Código :
    rjnet
    [url=http://babelfish.altavista.digital.com/babelfish/tr]AltaVista - Babel Fish Translation[/url]
    epress.com.br
    ramullher
    orcose
    [url=http://www.orcose.com.br/]Orcose Contabilidade e Assessoria Ltda[/url]
    mercurio
    [URL]http://www.investshop.com.br/mer/cot/moe[/URL]
    [url=http://www.cma.com.br/]CMA[/url]
    intranet.creasp.org.br:84/acesso.php
    [url=http://www.creasp.org.br/]CREA-SP[/url]
    crea
    creasp
    ecofabril
    pop.ecofabril.com.br
    [URL]https://saturno.omint.com.br/siteseguro/associado/log_fraset_ini.htm[/URL]
    dae
    saturno.omint.com.br
    200.219.245.174
    omint
    200.160.121.187
    [url=http://www.ciesp.org.br/neri]NERI/CIESP-PRINCIPAL/Home[/url]
    bradescoseguranca.com.br
    bradesco
    [url=http://www.bradescocambio.com.br]Bradesco Câmbio[/url]
    bradesco
    alpha
    alfaperfilados
    #speedy.com.br
    #speedy
    ciesp.org.br/neri
    ciesp
    200.204.179.37
    [url=http://www.goldenfarma.com.br/]:: GOLDEN FARMA :: - Passando saúde para o seu benefício[/url]
    farma
    goldenfarma
    diario
    [url=http://www.diario-oficial.com.br/]Diário Oficial[/url]
    imprensa
    oficial
    [URL]http://www.bradescopessoajuridica.com.brtelelistas[/URL]
    [URL]http://www.vagasetalentos.com.br[/URL]
    [url=http://www.bandeirante.com.br/]Bandeirante Energias do Brasil - Distribuidora e energia eletrica, eletricidade, conta de luz, consumo de energia[/url]
    [url=http://ias2.epharmatecnologia.com.br/sa/pesquisas/pesqprod_v4?p_cno=147&p_pln=00629]Pesquisa Produtos[/url]
    ias2
    epharmatecnologia
    [URL]https://saturno.omint.com.br/siteseguro/associado/log_fraset_ini.htm[/URL]
    saturno
    [url=http://www.careplus.com.br]::. Care Plus Medicina Assistencial .::[/url]
    [url=http://www.omint.com.br]Omint. Saúde em todos os planos.[/url]
    [url=http://www.listaonline.com.br/]ListaOnLine.com.br[/url]
    server.trackmail.com.br
    [url=http://www.protecao.com.br/]Revista Proteção[/url]
    americanexpress
    [URL="http://www.jus.com.br"]www.jus.com.br[/URL]
    jus
    juridico
    justica
    [url=http://www.adventurecamp.com.br]Adventure Camp[/url]
    [url=http://www.mecaprome.com]::: Mecaprome :::[/url]
    [url=http://www.telelistas.net]TeleListas.net: Lista Telefônica - 102 online - Brasil[/url]
    [URL="http://www.secureweb.com.br"]www.secureweb.com.br[/URL]
    secureweb
    #MSNmsgr.exe
    [url=http://www.AAAM.COM.BR]ABN AMRO Asset Management[/url]
    [url=http://www.BANCOREAL.COM.BR]Portal BANCO REAL[/url]

  10. #10

    Padrão

    Cara, parece okay, tente monitorar os recursos da maquina como cpu/memoria/io para saber o que ocorre nesta lentidao... de repente podemos encontrar a origem do problema.

    Seu squid parece bem simples para estar "sentando".

  11. #11

    Padrão

    Pois é cara, ele é bem simples mesmo, vou fazer o seguinte:

    Chegou um novo server da dell com SUSE 10, vou configurar identico a este e ver o que consigo.

    Depois posto resultados.

    Obrigado pela ajuda.

    abs

  12. #12

    Padrão

    Achei o problema..eu acho..

    estao usando meu proxy externamente... dá uma olhada no meu access.log

    tinha uma ACL ALL com 0.0.0.0/0.0.0.0

    coloquei minha rede interna...mas acho que ainda continuam usando..

    Como bloquear o acesso externo por proxy/firewall?

    abs

    Código :
    1203971862.924      1 192.169.10.23 TCP_DENIED/403 1471 GET [URL]http://ads4202.hotwords.com.br/show.jsp[/URL]? - NONE/- text/html
    1203971862.982    706 193.151.56.166 TCP_MISS/200 145 CONNECT 64.12.200.89:443 - DIRECT/64.12.200.89 -
    1203971863.092    771 78.106.70.178 TCP_MISS/200 187 CONNECT login.icq.com:443 - DIRECT/64.12.161.185 -
    1203971863.390    559 195.167.55.35 TCP_DENIED/403 1467 POST [url=http://registrace.atlas.cz/verify.aspx]Atlas.cz[/url] - DIRECT/193.86.85.38 text/html
    1203971863.390   1042 78.106.70.178 TCP_MISS/200 249 CONNECT 64.12.161.153:443 - DIRECT/64.12.161.153 -
    1203971863.414    766 222.35.202.119 TCP_DENIED/403 1459 GET [URL]http://hits.blog.sina.com.cn/hits[/URL]? - DIRECT/202.108.33.62 text/html
    1203971863.635    745 212.66.42.226 TCP_MISS/200 183 CONNECT login.icq.com:443 - DIRECT/64.12.161.185 -
    1203971863.731    750 78.106.70.178 TCP_MISS/200 187 CONNECT 64.12.200.89:443 - DIRECT/64.12.200.89 -
    1203971863.788    740 78.106.70.178 TCP_MISS/200 187 CONNECT 205.188.179.233:443 - DIRECT/205.188.179.233 -
    1203971863.921    430 74.208.103.166 TCP_DENIED/403 1431 GET [url=http://dopekitz.com/]DopeKitz.com - The Authority For Hot Sounds On The Net[/url] - DIRECT/206.212.247.136 text/html
    1203971864.209   3874 63.223.75.193 TCP_DENIED/403 1443 POST [URL]http://xkovator.com/pd.php[/URL] - DIRECT/81.177.4.38 text/html
    1203971864.210    577 195.248.96.77 TCP_MISS/200 143 CONNECT 205.188.179.233:443 - DIRECT/205.188.179.233 -
    1203971864.532      9 69.131.0.155 TCP_DENIED/400 1930 GET error:missing-http-ident - NONE/- text/html
    1203971864.580   1205 67.71.135.128 TCP_DENIED/403 1469 GET [URL]http://edit.tpe.yahoo.com/config/login[/URL]? - DIRECT/202.43.196.235 text/html
    1203971864.640    634 80.93.58.131 TCP_DENIED/403 1447 GET [URL]http://top.wab.ru/count.php[/URL]? - DIRECT/87.242.76.166 text/html
    1203971864.653    535 195.167.55.35 TCP_DENIED/403 1467 POST [url=http://registrace.atlas.cz/verify.aspx]Atlas.cz[/url] - DIRECT/193.86.85.38 text/html
    1203971864.689      2 124.8.79.249 TCP_DENIED/403 1423 CONNECT 203.188.197.9:25 - NONE/- text/html
    1203971864.743    372 74.208.103.166 TCP_DENIED/403 1431 GET [url=http://dopekitz.com/]DopeKitz.com - The Authority For Hot Sounds On The Net[/url] - DIRECT/206.212.247.136 text/html
    1203971864.744    720 78.106.70.178 TCP_MISS/200 187 CONNECT login.icq.com:443 - DIRECT/64.12.161.185 -
    1203971864.749    758 78.106.70.178 TCP_MISS/200 187 CONNECT login.icq.com:443 - DIRECT/64.12.161.185 -
    1203971864.845    300 66.230.175.117 TCP_DENIED/403 1463 POST [URL]http://trysearch.net/proxy/index.php[/URL] - DIRECT/66.230.175.117 text/html
    1203971865.079      0 61.57.144.224 TCP_DENIED/403 1421 CONNECT 208.76.82.11:25 - NONE/- text/html
    1203971865.081    439 63.223.75.193 TCP_DENIED/403 1435 POST [URL]http://s-way.us/pd.php[/URL] - DIRECT/63.223.74.102 text/html
    1203971865.263    759 78.106.70.178 TCP_MISS/200 187 CONNECT 64.12.161.185:443 - DIRECT/64.12.161.185 -
    1203971865.384    709 78.106.70.178 TCP_MISS/200 187 CONNECT 64.12.200.89:443 - DIRECT/64.12.200.89 -
    1203971865.939    570 195.167.55.35 TCP_DENIED/403 1467 POST [url=http://registrace.atlas.cz/verify.aspx]Atlas.cz[/url] - DIRECT/193.86.85.38 text/html
    1203971866.107    590 63.223.75.193 TCP_DENIED/403 1443 POST [URL]http://xkovator.net/pd.php[/URL] - DIRECT/82.197.131.14 text/html
    1203971866.126    836 222.35.202.119 TCP_DENIED/403 1459 GET [URL]http://hits.blog.sina.com.cn/hits[/URL]? - DIRECT/202.108.33.62 text/html
    1203971866.263      2 220.136.164.71 TCP_DENIED/403 1423 CONNECT 203.188.197.9:25 - NONE/- text/html
    1203971866.274    765 78.106.70.178 TCP_MISS/200 187 CONNECT login.icq.com:443 - DIRECT/64.12.161.185 -
    1203971866.279    818 78.106.70.178 TCP_MISS/200 187 CONNECT 205.188.153.121:443 - DIRECT/205.188.153.121 -

  13. #13

    Padrão

    Saudações! Tenho um sistema complexo que funciona da seguinte maneira:
    -dhcp-fixo
    -iptables com mac x ip amarrado
    -redirecionamento de portas
    -squid autenticado
    -controle de banda
    Olha dessa maneira que coloquei não me encomodo com nada, se quiser informações com prazer ajudarei

  14. #14

    Padrão

    lnxuser

    Para bloquear acesso externo ao seu proxy abra a porta 3128 para apenas sua rede, como segue exemplo abaixo:

    iptables -A INPUT -i eth1 -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT

    OBS-Imaginando 192.168.1.0/24 como sua rede

    Att.

  15. #15

    Padrão

    Obrigado pesssoal, agora está tudo funcionando 100%.

    Abraço a todos.

    Rodrigo