As regras são muitas, muitas mesmos, tem vez que até me perco. Os arquivos de configuração do squid estão modularizados, isto é, o arquivo principal tá com "include <arquivo>" pra cada seção que considero importante, por exemplo, autenticação, memoria, DNS, bloqueios, daí um menu em bash edita esses arquivos que pertencem a essas seções, configurando como será a autenticação (ldap, NTLM, sem autenticação) dai faço o link simbólico para o arquivo para qual o squid.conf está apontando. Daí quando o negocio ficou bem modular, foram pedindo bloqueios disso e daquilo outro e fui criando agora tem acessos de destino por dominio, destino por URLs, IP, lista de usuarios, horarios para almoço, bloqueios, eita... são muitas.
Estou estudando uma forma de melhorar a velocidade, e talvez tenha que abrir mão do squid. Em qui., 7 de nov. de 2019 às 23:05, henrique <[email protected]> escreveu: > > Olá! > > Pode ser uma coisa (autenticação no ad) ou outra (muitas regras com > "regex" no nome. Ou a complexidade do seu ambiente (muitas listas). Ou uma > conjunção de todas. > > Muito tempo atrás li que ambientes com autenticação no AD geravam bem mais > trafego na rede interna. > > E que um ad sobrecarregado também pode deixar as coisas mais lentas, o > ideal seria um ad RO ou um secundário dedicado só para fazer isso. > > Mas primeiro o ideal é isolar o problema, rever os TIPOS de acl usados nas > regras, diminuir ao maximo o uso de url_regex ou dst_regex ou qualquer > coisa com regex no nome, inclusive modificar a politica de cache do squid, > e também desligar a autenticação e observar o impacto. > > Squidguard ou urlfilterdb para aplicar as regras também são uma excelente > opção ao controle nativo do squid: ambos gerenciam milhares de urls em > centenas de cenários de usuários diferentes em milésimos de segundos usando > bem poucos recursos. > > Por ultimo, desvirtualizar e ver o que acontece. Certas coisas não fazem > muito sentido... > > > > Abraços > > > Em quinta-feira, 7 de novembro de 2019 10:56:34 GMT-3, hamacker < > [email protected]> escreveu: > > > Olá a todos. > > Sou o responsável por uma pequena rede que conta com cerca de 50 usuários. > > Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando > em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link > tl-5120. Ele está virtualizado e segundo o monitoramento do xen os > elementos de CPU, Memoria, Disco e Rede são de baixo uso. > O squid funciona perfeitamente, conta com menus de automação para > simplificiar a administração por outras pessoas, tornado este servidor > quase um serviço embarcado. > Estes menus gerenciam listas-brancas para o financeiro, produção, vendas, > etc... onde estes colaboradores podem ir ou não. Além disso, a lista de > usuarios powerusers que não tem restrição de sites, mas de downloads (avi, > mp3, .exe,....). Outros são 'admins' podem tudo e em qualquer lugar. > Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista > de IPs ignorados que vão direto para o gateway, ... muitas outras opções de > liberação/bloqueio de porta. > > Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a > perfomance da internet dobra de velocidade. Pelos testes que fiz, a > autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada > instante na rede, não sei porque o token não tem um tempo maior de > expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o > NTLM e as regras realmente são os causadores da perda performatica. Não há > nada que eu possa fazer com o NTLM, ele depende do Windows e não posso > abrir mão disso. As listas do squid por outro lado, as vezes são longas.... > então acho que boa parte do gargalo estão nas regras. > > Então estou estudando outras formas de melhorar a performance, eu não > acredito que desvirtualizar resolverá o problema então outras soluções são > bem vindas. > > Eu conversei com o meu diretor e ele me permitiu simplificar as regras > onde só não posso abrir mão de: > * autenticação no Active Directory > * Uma lista branca liberado para todos e usuarios que podem acessar o que > desejarem > * Uma lista de usuarios que pode acessar o que desejar > * registro logs de acesso. > Desejável: > * Liberar acesso transparente vindo por programas especificos, por > exemplo, liberar programas de governo para que eles possam ir onde eles > desejarem ir em qualquer porta de forma transparente, geralmente para suas > próprias atualizações e envio de documentos. > > Que software (pode embarcado ou não) atenderia essas necessidades? > Na Internet, há um produto embarcado Mikrotik, ele atenderia essas > necessidades via hardware próprio? > > Um cordial abraço a todos. >
