[FUG-BR] Lusca_head no FreeBSD que não abre site mec.gov.br nem Vunesp
EnioRM
eniorm em gmail.com
Quarta Agosto 28 11:54:11 BRT 2013
2013/8/28 EnioRM <eniorm em gmail.com>
> Pessoal tenho enfrentado um problema estranho, que já até enviei algumas
> mensagens para a lista, mas por fim resolvi refazer todos os meus testes.
>
> Meu cenário
> servidor com FreeBSD 9.2-prerelease (sources atualizado via csup e
> recompilado)
> O lusca_head instalado via ports (Squid Cache: Version LUSCA_HEAD-r14809)
> utilizando as configurações padrão do ports.
>
> Logo de cara dois sites que não abrem nem com reza são:
> www.mec.gov.br
> www.vunesp.com.br
>
>
> E por incrível que pareça tenho um outro lusca rodando num FreeBSD
> 7.3-stable que também não abre.
>
> Quando eu digo que não abre, o lusca não exibe erro algum, nem denied nem
> nada, simplesmente o navegador fica esperando resposta até dar timeout, no
> caso da vunesp simplesmente o navegador para e a página fica em branco sem
> carregar nada... só consta assim nos logs
>
> *access.log*
> 1377698692.982 16856 192.168.0.42 TCP_MISS/000 0 GET
> http://www.mec.gov.br/ stiadministrador DIRECT/200.130.2.135 -
> 1377698692.982 16856 192.168.0.42 TCP_MISS/000 0 GET
> http://www.mec.gov.br/ stiadministrador DIRECT/200.130.2.135 -
>
> *cache.log*
> 2013/08/28 11:05:13| The request GET http://www.mec.gov.br/ is DENIED,
> because it matched 'PASSWORD'
> 2013/08/28 11:05:13| The reply for GET http://www.mec.gov.br/ is ALLOWED,
> because it matched 'PASSWORD'
> 2013/08/28 11:05:19| The request GET http://www.mec.gov.br/ is ALLOWED,
> because it matched 'liberados_sites'
> 2013/08/28 11:05:19| clientBeginForwarding: 0x80f21ea18: begin forwarding
> request
>
> *access.log*
> 1377699084.399 2 192.168.0.42 TCP_MEM_HIT/200 249 GET
> http://www.vunesp.com.br/ stiadministrador NONE/- -
> 1377699084.399 2 192.168.0.42 TCP_MEM_HIT/200 249 GET
> http://www.vunesp.com.br/ stiadministrador NONE/- -
> 1377699084.440 0 192.168.0.42 TCP_DENIED/407 1859 GET
> http://www.vunesp.com.br/favicon.ico - NONE/- text/html
> 1377699084.440 0 192.168.0.42 TCP_DENIED/407 1859 GET
> http://www.vunesp.com.br/favicon.ico - NONE/- text/html
>
> *cache.log*
> 2013/08/28 11:11:24| The reply for GET http://www.vunesp.com.br/ is
> ALLOWED, because it matched 'facebook_sites'
> 2013/08/28 11:11:24| The request GET http://www.vunesp.com.br/favicon.icois DENIED, because it matched 'PASSWORD'
> 2013/08/28 11:11:24| The reply for GET
> http://www.vunesp.com.br/favicon.ico is ALLOWED, because it matched
> 'PASSWORD'
>
>
>
> Só consigo abrir estes dois sites quando eu faço um nat e permito que meu
> pc(navegador) abra os sites sem passar pelo lusca.
> Navegadores testados, chrome, ie, firefox
>
> aguém sabe sobre isso ou percebeu algo parecido?
> Detalhe: as regras do squid.conf não possui bloqueios para .gov.br
>
> abraços
>
>
> --
> *ENIO R M*
> *Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m*
>
Saul Figueiredo e demais, acompanhem:
Pessoal, depois de muitos testes eu identifiquei o causador do problema
acima citado.
Certa vez eu coletei algumas dicas sobre squid/lusca para otimizar o seu
desempenho (segue lá em baixo)
e uma delas era a clausula "forwarded_for" que por padrão vem setado para
on, mas nas dicas tinha uma recomendação para ajustar para "off" e isso
causava o problema com o site vunesp e mec.gov.br
Não sei dizer qual é a relação entre o ajuste disto para off com o problema
de não abrir os referidos sites. Ta certo que tem aquela regra: se não sabe
o que é não toque!
O forwarded_for aceita as opções on|off|transparent|delete|truncate
O manual do squid diz que:
*Se estiver definido para "on", o Squid irá acrescentar o endereço IP do
seu cliente*
*nas solicitações HTTP para a frente. Por padrão, ele se parece com:*
*X-Forwarded-For: 192.1.2.3*
*
*
*Se for definido como "off", ele aparecerá como:*
*X-Forwarded-For: unknown*
*
*
*Se for definido como "transparent", Squid não irá alterar o*
*cabeçalho X-Forwarded-For de qualquer forma.*
*
*
*Se ajustado para "delete", Squid irá apagar todo o*
*cabeçalho X-Forwarded-For.*
*
*
*Se ajustado para "truncate", Squid irá remover todos as entradas
X-Forwarded-For
atuais, e colocar o IP do cliente como a única entrada.*
=====
as dicas que usava para tunning, que foram coletadas, são essas
*httpd_suppress_version_string on*
*client_lifetime 30 minutes*
*client_persistent_connections off*
*collapsed_forwarding on*
*detect_broken_pconn on*
*
*
*# CUIDADO: setar para off da problema com site: vunesp, mec.gov.br*
*forwarded_for transparent # deixar 'on' ou
'transparent'*
*
*
*fqdncache_size 16384*
*half_closed_clients off*
*ipcache_high 99*
*ipcache_low 98*
*ipcache_size 16384*
*log_fqdn off*
*log_icp_queries off*
*memory_pools off*
*negative_dns_ttl 60 seconds*
*negative_ttl 30 seconds*
*pconn_timeout 15 seconds*
*pipeline_prefetch on*
*positive_dns_ttl 6 hours*
*quick_abort_max 0 KB*
*quick_abort_min 0 KB*
*quick_abort_pct 100*
*read_timeout 30 minutes*
*reload_into_ims on*
*request_timeout 1 minute*
*server_persistent_connections on*
*store_avg_object_size 1024 KB*
*strip_query_terms off*
*vary_ignore_expire on*
*uri_whitespace strip*
*client_db on*
*#accept_filter httpready # FreeBSD apenas (requer
opção no kernel recompilado)*
se alguém ter algum comentário a fazer sobre alguma dessas opções eu
ficarei grato e acredito que o pessoal da lista também :D
abraços
--
*ENIO R M*
*Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m*
Mais detalhes sobre a lista de discussão freebsd