Olá!
Pode ser uma coisa (autenticação no ad) ou outra (muitas regras com "regex" no
nome. Ou a complexidade do seu ambiente (muitas listas). Ou uma conjunção de
todas.
Muito tempo atrás li que ambientes com autenticação no AD geravam bem mais
trafego na rede interna.
E que um ad sobrecarregado também pode deixar as coisas mais lentas, o ideal
seria um ad RO ou um secundário dedicado só para fazer isso.
Mas primeiro o ideal é isolar o problema, rever os TIPOS de acl usados nas
regras, diminuir ao maximo o uso de url_regex ou dst_regex ou qualquer coisa
com regex no nome, inclusive modificar a politica de cache do squid, e também
desligar a autenticação e observar o impacto.
Squidguard ou urlfilterdb para aplicar as regras também são uma excelente opção
ao controle nativo do squid: ambos gerenciam milhares de urls em centenas de
cenários de usuários diferentes em milésimos de segundos usando bem poucos
recursos.
Por ultimo, desvirtualizar e ver o que acontece. Certas coisas não fazem muito
sentido...
Abraços
Em quinta-feira, 7 de novembro de 2019 10:56:34 GMT-3, hamacker
<[email protected]> escreveu:
Olá a todos.
Sou o responsável por uma pequena rede que conta com cerca de 50 usuários.
Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando em
NTLM (Active Directory) juntamente com um roteador loadbalance tp-link tl-5120.
Ele está virtualizado e segundo o monitoramento do xen os elementos de CPU,
Memoria, Disco e Rede são de baixo uso.O squid funciona perfeitamente, conta
com menus de automação para simplificiar a administração por outras pessoas,
tornado este servidor quase um serviço embarcado.Estes menus gerenciam
listas-brancas para o financeiro, produção, vendas, etc... onde estes
colaboradores podem ir ou não. Além disso, a lista de usuarios powerusers que
não tem restrição de sites, mas de downloads (avi, mp3, .exe,....). Outros são
'admins' podem tudo e em qualquer lugar.Além disso, há muitas listas, por
exemplo, Lista de IPs bloqueados, Lista de IPs ignorados que vão direto para o
gateway, ... muitas outras opções de liberação/bloqueio de porta.
Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a perfomance
da internet dobra de velocidade. Pelos testes que fiz, a autenticação no AD
(NTLM) é algo que poderia melhorar porque ocorre a cada instante na rede, não
sei porque o token não tem um tempo maior de expiração. O DNS responde rapido,
não é o gargalo. Então eu considero que o NTLM e as regras realmente são os
causadores da perda performatica. Não há nada que eu possa fazer com o NTLM,
ele depende do Windows e não posso abrir mão disso. As listas do squid por
outro lado, as vezes são longas.... então acho que boa parte do gargalo estão
nas regras.
Então estou estudando outras formas de melhorar a performance, eu não acredito
que desvirtualizar resolverá o problema então outras soluções são bem vindas.
Eu conversei com o meu diretor e ele me permitiu simplificar as regras onde só
não posso abrir mão de:* autenticação no Active Directory* Uma lista branca
liberado para todos e usuarios que podem acessar o que desejarem* Uma lista de
usuarios que pode acessar o que desejar* registro logs de acesso.Desejável:*
Liberar acesso transparente vindo por programas especificos, por exemplo,
liberar programas de governo para que eles possam ir onde eles desejarem ir em
qualquer porta de forma transparente, geralmente para suas próprias
atualizações e envio de documentos.
Que software (pode embarcado ou não) atenderia essas necessidades?Na Internet,
há um produto embarcado Mikrotik, ele atenderia essas necessidades via hardware
próprio?
Um cordial abraço a todos.
