SQUID — медленно открываются сайты.
может у кого уже была подобная проблема, либо читали в англоязычной части форума, или просто подскажите куда и как копать хотя бы, ибо у меня идеи уже кончились. предыстория — есть виртуалка с сенсом, установлен и настроен сквид, всё работало нормально и никакие настройки виртуалки/сенса/сквида не трогались. виртуалка выходила в инет через циску, которая стала дико тормозить после расширения канала в связи с чем ей на замену был куплен джунипер. все правила я перенёс один в один, все айпишники и все сети соответственно тоже, проверил что инет напрямую есть, через нат есть и потом воткнул в новый роутер сенс. суть проблемы — при попытке открыть любой сайт в браузере первые секунд 10-20 ничего не происходит вообще, далее если страничка не содержит миллиона ссылок на другие сайты она открывается мгновенно, если есть куча банеров/картинок/прочей хрени — это всё подгружается постепенно и весьма неторопливо.
потом лазить ВНУТРИ открывшего сайта можно с обычной скоростью — допустим зашли на ютуп и серфим по видосам, т.е. такое впечатление, что долго устанавливается первоначальное соединение/сессия, а потом уже внутри них скорость обычная. если ходить мимо прокси через нат из локалки — страницы открываются мгновенно, если взять адрес из диапазона внешней сетевухи сенса — то же самое, если на самом сенсе включить нат и использовать сенс как дефолт гейтвэй — всё работает быстро. вообще не понимаю в чём может быть проблема. и кстати — у меня 2 провайдера, на роутере один является дефолтным маршрутом, а второй юзается когда перестаёт пинговаться первый. дык вот если я подключаю только одного прова, который дефолтный, а второго либо вообще кабель не втыкаю либо втыкаю в какой-нить левый порт (чтобы просто интерфейс поднялся) — сквид работает нормально. только втыкаешь второго прова — сразу тормоза.
хотя нат при этом работает без проблем — и через сенс и из локалки.
а второй юзается когда перестаёт пинговаться первый. дык вот если я подключаю только одного прова, который дефолтный, а второго либо вообще кабель не втыкаю либо втыкаю в какой-нить левый порт (чтобы просто интерфейс поднялся) — сквид работает нормально. только втыкаешь второго прова — сразу тормоза.
Тормозит инет через squid
Собственно сабж, если не прописывать проксю то инет летает. Dns и на сервере и у клиентов прописан провайдерский, свой будет позже на др. сервере. Когда работаешь через сквид после ввода адреса сайта от 5 до 20 секунд длится бездействие, а потом, почти всегда, страница достаточно быстро загружается, хотя и не так быстро как через маскарадинг.
acl QUERY urlpath_regex cgi-bin \?
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
maximum_object_size 16384 KB
maximum_object_size_in_memory 4096 KB
cache_dir ufs /home/squid/cache 1024 16 256
access_log /var/log/squid/access.log squid
###request_header_max_size 20 KB
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
negative_dns_ttl 1 minute
connect_timeout 30 seconds
request_timeout 60 seconds
shutdown_lifetime 5 seconds
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl local_net src 192.168.0.0/255.255.255.0
acl Safe_ports port 1025-65535
acl CONNECT method CONNECT
http_access allow localhost
http_access allow purge localhost
http_access allow local_net
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access allow all
Подскажите где может быть затыка.
Squid долго загружает страницы https
На виртуалке стоит Ubuntu 16.04 со squid. Сквид настроен с фильтрацией https, прозрачный. Если заходить с клиента только через нат все сайты открываются нормально. Со сквидом http -нормально, а вот https сначала повисит пару минут, и потом заходит. В браузере пишет «выполняется TLS рукопожатие с *». В логах сквида пишется что все подключается нормально. конфиг сквида:
##################################### # Обслуживаемые прокси-сервером сети # ###################################### acl localnet src 192.168.12.0/24 ################################################# # Правила какие порты разрешены прокси-сервером # ################################################# # Порт SSL для подключений по HTTPS-протоколу acl SSL_ports port 443 acl SSL_ports port 9443 acl SSL_ports port 53 # sbis acl SSL_ports port 3478 # sbis # Список портов, к которым разрешен доступ через прокси-сервер по протоколу HTTP acl Safe_ports port 80 # http acl Safe_ports port 110 # sbis acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 53 # sbis acl Safe_ports port 3478 # sbis acl Safe_ports port 25 # http acl CONNECT method CONNECT #настройки для sqstat acl manager proto cache_object acl managerAdmin src 192.168.12.111/32 ################################################################ # Пути к файлам запрещающих, разрешающих определенные действия # ################################################################ # Путь к списку IP-адресов пользователей, для которых не действуют запреты acl AdminsIP src "/etc/squid/AdminsIP.txt" # Путь к черному списку сайтов acl BlackList dstdomain "/etc/squid/BlackList.txt" # Путь к списку адресов которым запрещен интернет acl BlockInetExlWhite src "/etc/squid/BlockInetExlWhite.txt" # Путь к белому списку сайтов acl WhiteList dstdomain "/etc/squid/WhiteList.txt" ######################### # Параметры DNS записей # ######################### # Список DNS серверов(IP адреса), которые будут использоваться вместо тех, что определены в /etc/resolv.conf файле dns_nameservers 8.8.4.4 dns_nameservers 8.8.8.8 ######################################## # Правила ограничений доступа клиентов # ######################################## # Запретить доступ к портам, отсутствующим в списке выше http_access deny !Safe_ports # Запретить метод CONNECT не на SSL-порт http_access deny CONNECT !SSL_ports # Разрешить только локальное управление кэшем http_access allow localhost http_access allow manager #Удаленное управление кешем http_access allow manager managerAdmin http_access deny manager # Не ограничивать локальный доступ с сервера http_access allow localhost # Не ограничивать доступ администраторам http_access allow AdminsIP # Блокировать интернет конкретным пользователям http_access deny BlockInetExlWhite !WhiteList # Блокировать запрещенные сайты http_access deny BlackList # Правила разрешающего доступ в интернет из локальной сети указанной в localnet http_access allow localnet # Блокирует все, что не было разрешено выше http_access deny all ############################################# # Правила подключений клиентов к прокси-серверу# ############################################# # Подключения через прозрачный порт http_port 192.168.12.111:3128 intercept options=NO_SSLv3:NO_SSLv2 # Подключение через указания прокси-сервера на стороне клиента http_port 192.168.12.111:3130 options=NO_SSLv3:NO_SSLv2 # Подключение по HTTPS через прозрачный порт с параметрами подставки сертификата https_port 192.168.12.111:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem # Принимаем сертификаты, даже если они не прошли проверку. always_direct allow all sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER # Укажем список блокируемых ресурсов (в файле домены вида .domain.com) и правила блокировки их acl blocked ssl::server_name "/etc/squid/BlackList.txt" # Устанавливаем защищенное соединение и считываем заголовок HTTP acl step1 at_step SslBump1 ssl_bump peek step1 # Закрываем соединение, если клиент заходит на ресурс указанные в blocked ssl_bump terminate blocked ssl_bump splice all sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB ######################################### # Дополнительные параметры конфигурации # ######################################### # Путь для дискового кеширования cache_dir aufs /var/spool/squid 20000 49 256 # Путь сохранения дампов аварийного завершения coredump_dir /var/spool/squid # Время жизни объектов для протоколов FTP и GOPHER refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 # Нулевое время жизни для динамического контента refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 # Время жизни по умолчанию refresh_pattern . 0 20% 4320 maximum_object_size 61440 KB minimum_object_size 3 KB cache_swap_low 90 cache_swap_high 95 # Максимальный размер объекта, сохраняемого в оперативной памяти maximum_object_size_in_memory 512 KB memory_replacement_policy lru # Количество ротаций лог-файлов (0 - отключена ротация, 15 - максимальное количество) logfile_rotate 0 # E-mail адрес Cache менеджера, для отправки уведомлений и отображении в страницах ошибок #cache_mgr it@admin.ru cachemgr_passwd gfh0km all
1507098307.398 601090 192.168.12.41 TAG_NONE/200 0 CONNECT 217.69.139.215:443 - HIER_NONE/- - 1507098307.398 601086 192.168.12.41 TCP_TUNNEL/200 345738 CONNECT e.mail.ru:443 - ORIGINAL_DST/217.69.139.215 -