[FUG-BR] squid lento
Lutieri G.
lutierigbtrabalho em gmail.com
Segunda Agosto 27 11:31:17 BRT 2007
Olá!
Antes de tudo gostaria de dizer que googliei e li o histórico da
lista, porém continuo sem solução.
Tinha o squid2.4stable13 instalado e acabei de atualizar para o
stable14. Porém o problema continua.
Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá
que é um doce.
Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free
6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e
coloquei no servidor novo com Free.
Fiz a migração dos usuários alterando apenas o registro PROXY no dns.
Em cerca de 5 minutos depois de mudar o dns vejo o tráfego chegando
ao novo proxy e a conexão a internet fica lentíssima.
Já alterei algumas opções no kernel de acordo com a documentação do squid:
#cat /boot/loader.conf
kern.ipc.msgmnb=16384
kern.ipc.msgmni=40
kern.ipc.msgseg=2048
kern.ipc.msgssz=64
kern.ipc.msgtql=2048
A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum.
Meu squid.conf
# cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^#
http_port 172.16.7.240:3128
http_port 127.0.0.1:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 100 MB
cache_dir ufs /cache 8000 16 256
access_log /usr/local/squid/logs/access.log squid
cache_store_log none
auth_param ntlm program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 25
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm XYZ Proxy server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
acl redelocal src 192.168.0.0/16
acl redelocal src 172.16.0.0/16
acl paginapare dstdomain squidweb.xyz.gov.br
acl usuarioslib proxy_auth -i "/usr/local/etc/squid/xyz/usuarioslib.txt"
acl usuariosrestritos proxy_auth -i
"/usr/local/etc/squid/xyz/usuariosrestritos.txt"
acl usuariosthorga proxy_auth -i "/usr/local/etc/squid/xyz/usuariosthorga.txt"
acl sitesthorga url_regex -i "/usr/local/etc/squid/xyz/sitesthorga.txt"
acl usuariosthorga_eng proxy_auth -i
"/usr/local/etc/squid/xyz/usuariosthorga_eng.txt"
acl sitesthorga_eng url_regex -i "/usr/local/etc/squid/xyz/sitesthorga_eng.txt"
acl usuarios_chineses proxy_auth -i "/usr/local/etc/squid/xyz/chineses_msn.txt"
acl msn_chineses url_regex -i gateway.messenger.
acl msn_chineses url_regex -i login.live.com
acl msn_chineses url_regex -i gateway.dll
acl msn_chineses url_regex -i msn.com
acl usuario_tabajara proxy_auth -i tabajara
acl palavra_radio url_regex -i radio
acl usuario_mcarmo proxy_auth -i mcarmo
acl usuario_janice proxy_auth -i janice
acl site_biruta url_regex -i birutadosul
acl site_votorantim url_regex -i webmail.votorantim.com.br
acl site_votorantim url_regex -i portal.votoran.com.br
acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br
acl usuario_nilsons proxy_auth -i nilsons
acl usuario_direito proxy_auth -i isabelf
acl palavra_direito url_regex -i direitodoestado.com
acl malwares url_regex -i "/usr/local/etc/squid/xyz/malware.txt"
acl bloqueados url_regex -i "/usr/local/etc/xyz/xyz/bloqueados.txt"
acl liberados url_regex -i "/usr/local/etc/xyz/xyz/liberados.txt"
acl servidores src "/usr/local/etc/squid/xyz/servidores.txt"
follow_x_forwarded_for deny all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny malwares
deny_info http://malware.hiperlinks.com.br/denied.shtml malwares
http_access allow liberados password
http_access allow servidores
http_access allow usuarioslib
http_access deny usuariosthorga !sitesthorga
http_access deny usuariosthorga_eng !sitesthorga_eng
http_access allow usuario_direito palavra_direito
http_access allow usuarios_chineses msn_chineses
http_access allow usuario_nilsons site_votorantim
http_access allow palavra_radio usuario_tabajara
http_access allow palavra_radio usuario_mcarmo
http_access allow usuario_janice site_biruta
http_access deny usuariosrestritos
http_access deny bloqueados all
deny_info http://squidweb.xyz.gov.br bloqueados
http_access allow localhost
http_access allow redelocal password
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname proxy
via off
forwarded_for off
header_access From deny all
header_access Referer deny all
header_access Server deny all
header_access Link deny all
error_directory /usr/local/etc/squid/errors/Portuguese
coredump_dir /usr/local/squid/cache
Volta e meia aparecem mensagens assim no cache.log:
httpAccept: FD 41: accept failure: (53) Software caused connection abort
Eu sei que tem bastante regras usando url_regex, mas não pode ser por
causa disso.
# uname -a
FreeBSD sdfirewall.xyz.com.br 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri
Jan 12 08:43:30 UTC 2007
root em portnoy.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP amd64
Tenho uma partição de 10Gb pra cache.
Juro que não sei o pq da lentidão. Quando digitou: squidclient
mgr:info me retorna que tem em torno de 40 clientes e jah fica
lento.... Mas no outro servidor antigo tá rodando super bem com 500
usuários.
Preciso de ajuda!
--
Att.
Lutieri G. B.
Mais detalhes sobre a lista de discussão freebsd