[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Squid, 50% menos performático quando comparado sem proxy

As regras são muitas, muitas mesmos, tem vez que até me perco.
Os arquivos de configuração do squid estão modularizados, isto é, o arquivo principal tá com "include <arquivo>" pra cada seção que considero importante, por exemplo, autenticação, memoria, DNS, bloqueios, daí um menu em bash edita esses arquivos que pertencem a essas seções, configurando como será a autenticação (ldap, NTLM, sem autenticação) dai faço o link simbólico para o arquivo para qual o squid.conf está apontando. Daí quando o negocio ficou bem modular, foram pedindo bloqueios disso e daquilo outro e fui criando agora tem acessos de destino por dominio, destino por URLs, IP, lista de usuarios, horarios para almoço, bloqueios, eita... são muitas.

Estou estudando uma forma de melhorar a velocidade, e talvez tenha que abrir mão do squid. 

Em qui., 7 de nov. de 2019 às 23:05, henrique <jmhenrique@yahoo.com.br> escreveu:

Olá!

Pode ser uma coisa (autenticação no ad) ou outra (muitas regras com "regex" no nome. Ou a complexidade do seu ambiente (muitas listas). Ou uma conjunção de todas.

Muito tempo atrás li que ambientes com autenticação no AD geravam bem mais trafego na rede interna.

E que um ad sobrecarregado também pode deixar as coisas mais lentas, o ideal seria um ad RO ou um secundário dedicado só para fazer isso.

Mas primeiro o ideal é isolar o problema, rever os TIPOS de acl usados nas regras, diminuir ao maximo o uso de url_regex ou dst_regex ou qualquer coisa com regex no nome, inclusive modificar a politica de cache do squid, e também desligar a autenticação e observar o impacto.

Squidguard ou urlfilterdb para aplicar as regras também são uma excelente opção ao controle nativo do squid: ambos gerenciam milhares de urls em centenas de cenários de usuários diferentes em milésimos de segundos usando bem poucos recursos.

Por ultimo, desvirtualizar e ver o que acontece. Certas coisas não fazem muito sentido...



Abraços


Em quinta-feira, 7 de novembro de 2019 10:56:34 GMT-3, hamacker <sirhamacker@gmail.com> escreveu:


Olá a todos.

Sou o responsável por uma pequena rede que conta com cerca de 50 usuários.

Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link tl-5120. Ele está virtualizado e segundo o monitoramento do xen os elementos de CPU, Memoria, Disco e Rede são de baixo uso.
O squid funciona perfeitamente, conta com menus de automação para simplificiar a administração por outras pessoas, tornado este servidor quase um serviço embarcado.
Estes menus gerenciam listas-brancas para o financeiro, produção, vendas, etc... onde estes colaboradores podem ir ou não. Além disso, a lista de usuarios powerusers que não tem restrição de sites, mas de downloads (avi, mp3, .exe,....). Outros são 'admins' podem tudo e em qualquer lugar.
Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista de IPs ignorados que vão direto para o gateway, ... muitas outras opções de liberação/bloqueio de porta.

Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a perfomance da internet dobra de velocidade. Pelos testes que fiz, a autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada instante na rede, não sei porque o token não tem um tempo maior de expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o NTLM e as regras realmente são os causadores da perda performatica. Não há nada que eu possa fazer com o NTLM, ele depende do Windows e não posso abrir mão disso. As listas do squid por outro lado, as vezes são longas.... então acho que boa parte do gargalo estão nas regras.

Então estou estudando outras formas de melhorar a performance, eu não acredito que desvirtualizar resolverá o problema então outras soluções são bem vindas.

Eu conversei com o meu diretor e ele me permitiu simplificar as regras onde só não posso abrir mão de:
* autenticação no Active Directory
* Uma lista branca liberado para todos e usuarios que podem acessar o que desejarem
* Uma lista de usuarios que pode acessar o que desejar
* registro logs de acesso.
Desejável:
* Liberar acesso transparente vindo por programas especificos, por exemplo, liberar programas de governo para que eles possam ir onde eles desejarem ir em qualquer porta de forma transparente, geralmente para suas próprias atualizações e envio de documentos.

Que software (pode embarcado ou não) atenderia essas necessidades?
Na Internet, há um produto embarcado Mikrotik, ele atenderia essas necessidades via hardware próprio?

Um cordial abraço a todos.
Reply to: