Re: Squid, 50% menos performático quando comparado sem proxy
Olá! Pode ser uma coisa (autenticação no ad) ou outra (muitas regras com "regex" no nome. Ou a complexidade do seu ambiente (muitas listas). Ou uma conjunção de todas. Muito tempo atrás li que ambientes com autenticação no AD geravam bem mais trafego na rede interna. E que um ad sobrecarregado também pode deixar as coisas mais lentas, o ideal seria um ad RO ou um secundário dedicado só para fazer isso. Mas primeiro o ideal é isolar o problema, rever os TIPOS de acl usados nas regras, diminuir ao maximo o uso de url_regex ou dst_regex ou qualquer coisa com regex no nome, inclusive modificar a politica de cache do squid, e também desligar a autenticação e observar o impacto. Squidguard ou urlfilterdb para aplicar as regras também são uma excelente opção ao controle nativo do squid: ambos gerenciam milhares de urls em centenas de cenários de usuários diferentes em milésimos de segundos usando bem poucos recursos. Por ultimo, desvirtualizar e ver o que acontece. Certas coisas não fazem muito sentido... Abraços Em quinta-feira, 7 de novembro de 2019 10:56:34 GMT-3, hamacker escreveu: Olá a todos. Sou o responsável por uma pequena rede que conta com cerca de 50 usuários. Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link tl-5120. Ele está virtualizado e segundo o monitoramento do xen os elementos de CPU, Memoria, Disco e Rede são de baixo uso.O squid funciona perfeitamente, conta com menus de automação para simplificiar a administração por outras pessoas, tornado este servidor quase um serviço embarcado.Estes menus gerenciam listas-brancas para o financeiro, produção, vendas, etc... onde estes colaboradores podem ir ou não. Além disso, a lista de usuarios powerusers que não tem restrição de sites, mas de downloads (avi, mp3, .exe,). Outros são 'admins' podem tudo e em qualquer lugar.Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista de IPs ignorados que vão direto para o gateway, ... muitas outras opções de liberação/bloqueio de porta. Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a perfomance da internet dobra de velocidade. Pelos testes que fiz, a autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada instante na rede, não sei porque o token não tem um tempo maior de expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o NTLM e as regras realmente são os causadores da perda performatica. Não há nada que eu possa fazer com o NTLM, ele depende do Windows e não posso abrir mão disso. As listas do squid por outro lado, as vezes são longas então acho que boa parte do gargalo estão nas regras. Então estou estudando outras formas de melhorar a performance, eu não acredito que desvirtualizar resolverá o problema então outras soluções são bem vindas. Eu conversei com o meu diretor e ele me permitiu simplificar as regras onde só não posso abrir mão de:* autenticação no Active Directory* Uma lista branca liberado para todos e usuarios que podem acessar o que desejarem* Uma lista de usuarios que pode acessar o que desejar* registro logs de acesso.Desejável:* Liberar acesso transparente vindo por programas especificos, por exemplo, liberar programas de governo para que eles possam ir onde eles desejarem ir em qualquer porta de forma transparente, geralmente para suas próprias atualizações e envio de documentos. Que software (pode embarcado ou não) atenderia essas necessidades?Na Internet, há um produto embarcado Mikrotik, ele atenderia essas necessidades via hardware próprio? Um cordial abraço a todos.
Re: Squid, 50% menos performático quando comparado sem proxy
Bem o squid é um proxy e Cache. Se quizer vc pode desligar oi cache para ter mais velocidade. Pode tambem colocar a área de cache e logs em um ssd para aumentar a velocidade Dependendo do tamanho de cache e de quanto tempo a máquina fica ligada vc tambem pode alocar a aŕea de cache em memória..80) Vai depender muito da quantidade de regras que vc tem ( sim o squidguard continua a ser usado e o dansguardian tambem...80) Sem ter maiores infs do n, de regras que vc tem e qual o tipo de sistema de cache vc usa fica difícil opinar. Regras do tipo dst são muuuito mais rápidas do que regras do tipo dstdomain, tenha em mente isto. 80) Tem outros ajustes , mas o principal são o n. de regras e como elas foram criadas ( dst x dstdomain etc) atenciosamente PS vc colocou o dns local para cache junto com o squid ou vc está colocando um dns externo? Em qui., 7 de nov. de 2019 às 12:24, Leandro Guimarães Faria Corcete DUTRA < l...@dutras.org> escreveu: > Le jeudi 07 novembre 2019 à 10:56 -0300, hamacker a écrit : > > > > Mas apesar de funcionar perfeitamente, é lento > > Normal. O principal objetivo dele é economizar banda com cache de > arquivos de páginas populares, mas obviamente ele atrasa o atendimento > de páginas menos populares, páginas dinâmicas &c. > > Se não precisas economizar banda, pode ser melhor dispensá-lo > e usar algo focado nos bloqueios, segurança… > > Há muitos anos que não mexo com Squid. Ainda existe o > SquidGuard? > > > > -- > +55 (61) 3546 7191 gTalk: xmpp:leand...@jabber.org > +55 (61) 99302 2691 http://en.dutras.org/ > BRAZIL GMT−3 > https://useplaintext.email/#why-plaintext > > -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
Re: Squid, 50% menos performático quando comparado sem proxy
Le jeudi 07 novembre 2019 à 10:56 -0300, hamacker a écrit : > > Mas apesar de funcionar perfeitamente, é lento Normal. O principal objetivo dele é economizar banda com cache de arquivos de páginas populares, mas obviamente ele atrasa o atendimento de páginas menos populares, páginas dinâmicas &c. Se não precisas economizar banda, pode ser melhor dispensá-lo e usar algo focado nos bloqueios, segurança… Há muitos anos que não mexo com Squid. Ainda existe o SquidGuard? -- +55 (61) 3546 7191 gTalk: xmpp:leand...@jabber.org +55 (61) 99302 2691 http://en.dutras.org/ BRAZIL GMT−3 https://useplaintext.email/#why-plaintext
Squid, 50% menos performático quando comparado sem proxy
Olá a todos. Sou o responsável por uma pequena rede que conta com cerca de 50 usuários. Por muitos anos tenho usado um servidor Linux c/ proxy squid autenticando em NTLM (Active Directory) juntamente com um roteador loadbalance tp-link tl-5120. Ele está virtualizado e segundo o monitoramento do xen os elementos de CPU, Memoria, Disco e Rede são de baixo uso. O squid funciona perfeitamente, conta com menus de automação para simplificiar a administração por outras pessoas, tornado este servidor quase um serviço embarcado. Estes menus gerenciam listas-brancas para o financeiro, produção, vendas, etc... onde estes colaboradores podem ir ou não. Além disso, a lista de usuarios powerusers que não tem restrição de sites, mas de downloads (avi, mp3, .exe,). Outros são 'admins' podem tudo e em qualquer lugar. Além disso, há muitas listas, por exemplo, Lista de IPs bloqueados, Lista de IPs ignorados que vão direto para o gateway, ... muitas outras opções de liberação/bloqueio de porta. Mas apesar de funcionar perfeitamente, é lento, se desligo o proxy a perfomance da internet dobra de velocidade. Pelos testes que fiz, a autenticação no AD (NTLM) é algo que poderia melhorar porque ocorre a cada instante na rede, não sei porque o token não tem um tempo maior de expiração. O DNS responde rapido, não é o gargalo. Então eu considero que o NTLM e as regras realmente são os causadores da perda performatica. Não há nada que eu possa fazer com o NTLM, ele depende do Windows e não posso abrir mão disso. As listas do squid por outro lado, as vezes são longas então acho que boa parte do gargalo estão nas regras. Então estou estudando outras formas de melhorar a performance, eu não acredito que desvirtualizar resolverá o problema então outras soluções são bem vindas. Eu conversei com o meu diretor e ele me permitiu simplificar as regras onde só não posso abrir mão de: * autenticação no Active Directory * Uma lista branca liberado para todos e usuarios que podem acessar o que desejarem * Uma lista de usuarios que pode acessar o que desejar * registro logs de acesso. Desejável: * Liberar acesso transparente vindo por programas especificos, por exemplo, liberar programas de governo para que eles possam ir onde eles desejarem ir em qualquer porta de forma transparente, geralmente para suas próprias atualizações e envio de documentos. Que software (pode embarcado ou não) atenderia essas necessidades? Na Internet, há um produto embarcado Mikrotik, ele atenderia essas necessidades via hardware próprio? Um cordial abraço a todos.