[FUG-BR] squid lento

Lutieri G. lutierigbtrabalho em gmail.com
Segunda Agosto 27 11:31:17 BRT 2007


Olá!

Antes de tudo gostaria de dizer que googliei e li o histórico da
lista, porém continuo sem solução.
Tinha o squid2.4stable13 instalado e acabei de atualizar para o
stable14. Porém o problema continua.
Tenho hoje um squid rodando em um servidor V20z da Sun em Debian tá
que é um doce.
Tenho um servidor novo da Sun x4100, uma baita máquina, rodando Free
6.2 e como disse squid 2.4 stable 14. Copiei todas ACL's do linux e
coloquei no servidor novo com Free.

Fiz a migração dos usuários alterando apenas o registro PROXY no dns.
Em cerca de 5 minutos  depois de mudar o dns vejo o tráfego chegando
ao novo proxy e a conexão a internet fica lentíssima.

Já alterei algumas opções no kernel de acordo com a documentação do squid:

#cat /boot/loader.conf
kern.ipc.msgmnb=16384
kern.ipc.msgmni=40
kern.ipc.msgseg=2048
kern.ipc.msgssz=64
kern.ipc.msgtql=2048

A CPU fica em torno de 60%. iostat, gstat não retornam nada fora do comum.

Meu squid.conf

# cat /usr/local/etc/squid/squid.conf | grep -v ^$ | grep -v ^#
http_port 172.16.7.240:3128
http_port 127.0.0.1:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
cache_mem 100 MB
cache_dir ufs /cache 8000 16 256
access_log /usr/local/squid/logs/access.log squid
 cache_store_log none
auth_param ntlm program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 25
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm  XYZ Proxy server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
acl redelocal src 192.168.0.0/16
acl redelocal src 172.16.0.0/16
acl paginapare dstdomain squidweb.xyz.gov.br
acl usuarioslib proxy_auth -i "/usr/local/etc/squid/xyz/usuarioslib.txt"
acl usuariosrestritos proxy_auth -i
"/usr/local/etc/squid/xyz/usuariosrestritos.txt"
acl usuariosthorga proxy_auth -i "/usr/local/etc/squid/xyz/usuariosthorga.txt"
acl sitesthorga url_regex -i "/usr/local/etc/squid/xyz/sitesthorga.txt"
acl usuariosthorga_eng proxy_auth -i
"/usr/local/etc/squid/xyz/usuariosthorga_eng.txt"
acl sitesthorga_eng url_regex -i "/usr/local/etc/squid/xyz/sitesthorga_eng.txt"
acl usuarios_chineses proxy_auth -i "/usr/local/etc/squid/xyz/chineses_msn.txt"
acl msn_chineses url_regex -i gateway.messenger.
acl msn_chineses url_regex -i login.live.com
acl msn_chineses url_regex -i gateway.dll
acl msn_chineses url_regex -i msn.com
acl usuario_tabajara proxy_auth -i tabajara
acl palavra_radio url_regex -i radio
acl usuario_mcarmo proxy_auth -i mcarmo
acl usuario_janice proxy_auth -i janice
acl site_biruta url_regex -i birutadosul
acl site_votorantim url_regex -i webmail.votorantim.com.br
acl site_votorantim url_regex -i portal.votoran.com.br
acl site_votorantim url_regex -i portal.votorantim-cimentos.com.br
acl usuario_nilsons proxy_auth -i nilsons
acl usuario_direito proxy_auth -i isabelf
acl palavra_direito url_regex -i direitodoestado.com
acl malwares url_regex -i "/usr/local/etc/squid/xyz/malware.txt"
acl bloqueados url_regex -i "/usr/local/etc/xyz/xyz/bloqueados.txt"
acl liberados url_regex -i "/usr/local/etc/xyz/xyz/liberados.txt"
acl servidores src "/usr/local/etc/squid/xyz/servidores.txt"
follow_x_forwarded_for deny all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny malwares
deny_info http://malware.hiperlinks.com.br/denied.shtml malwares
http_access allow liberados password
http_access allow servidores
http_access allow usuarioslib
http_access deny usuariosthorga !sitesthorga
http_access deny usuariosthorga_eng !sitesthorga_eng
http_access allow usuario_direito palavra_direito
http_access allow usuarios_chineses msn_chineses
http_access allow usuario_nilsons site_votorantim
http_access allow palavra_radio usuario_tabajara
http_access allow palavra_radio usuario_mcarmo
http_access allow usuario_janice site_biruta
http_access deny usuariosrestritos
http_access deny bloqueados all
deny_info http://squidweb.xyz.gov.br bloqueados
http_access allow localhost
http_access allow redelocal password
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname proxy
via off
forwarded_for off
                header_access From deny all
                header_access Referer deny all
                header_access Server deny all
                header_access Link deny all
error_directory /usr/local/etc/squid/errors/Portuguese
coredump_dir /usr/local/squid/cache



Volta e meia aparecem mensagens assim no cache.log:
httpAccept: FD 41: accept failure: (53) Software caused connection abort


Eu sei que tem bastante regras usando url_regex, mas não pode ser por
causa disso.


# uname -a
FreeBSD sdfirewall.xyz.com.br 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri
Jan 12 08:43:30 UTC 2007
root em portnoy.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP  amd64


Tenho uma partição de 10Gb pra cache.

Juro que não sei o pq da lentidão. Quando digitou: squidclient
mgr:info me retorna que tem em torno de 40 clientes e jah fica
lento.... Mas no outro servidor antigo tá rodando super bem com 500
usuários.

Preciso de ajuda!


-- 
Att.
Lutieri G. B.


Mais detalhes sobre a lista de discussão freebsd