Olá pessoal.
Gostaria de opiniões/sugestões de vocês a respeito desta configuração
abaixo, se está boa ou ruim, o que posso melhorar, etc., pois a
internet está lenta na minha empresa, levando em consideração que
possuo cerca de 5.000 usuários autenticados em LDAP. O servidor é um
SUN/Solaris 9, com CPU dual 900Mhz, 4GB de memória RAM. Será que
preciso fazer cluster? balenceamento com 2 servidores? Instalar
plug-ins de squid? Melhorar a configuração do squid.conf? Qual seria a
melhor opção para melhorar a performance? (sem o squid/proxy a
internet fica rápida)
Um abraço.
Fábio
---------------------------------
/usr/local/squid/etc/squid.conf
# Configurações de acesso ao servidor
http_port 3128
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
# Quanta memoria do equipamento o servico pode consumir
cache_mem 3690 MB
# Limite minimo para a substituicao de um objeto
cache_swap_low 95
# Formato do arquivo de log
#logformat combined %>a %ui %un [%{%d/%b/%Y:%H:%M:%S -0300}tl] "%rm
%ru HTTP/%rv
" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh
# Limite maximo para a substituicao de um objeto
cache_swap_high 98
cache_dir ufs /lv01/squid/cache 10240 16 1024
cache_access_log /lv00/squid/log/access.log
cache_log /lv00/squid/log/cache.log
cache_store_log /lv00/squid/log/store.log
pid_filename /lv00/squid/log/squid.pid
ftp_passive on
half_closed_clients off
# Parametros de autenticação
auth_param basic realm Controle de Acesso a Internet da Empresa
#auth_param basic program /usr/local/squid/libexec/ldap_auth -h
150.150.6.25 -b "ou=people,dc=empresa,dc=com,dc=br" -a "uid"
auth_param basic program /usr/local/squid/libexec/ldap_auth -h
150.150.6.9 -b "ou=people,dc=empresa,dc=com,dc=br" -a "uid"
#auth_param basic program /usr/local/squid/libexec/pam_auth
auth_param basic children 50
auth_param basic credentialsttl 6 hours
# Dados de Refresh
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
# Lista de Controle geral
acl all src 0.0.0.0/0.0.0.0
# Controle específico da Empresa
acl listanegraexpediente url_regex -i
"/usr/local/squid/etc/bloqueados/listanegraexpediente.txt"
acl listabrancaintegral url_regex -i
"/usr/local/squid/etc/liberados/listabrancaintegral.txt"
acl listanegraintegral url_regex -i
"/usr/local/squid/etc/bloqueados/listanegraintegral.txt"
#acl unblockedsites url_regex -i
"/usr/local/squid/etc/bloqueados/unblock.txt"
acl usuariosbloqueadosintegral proxy_auth_regex -i
"/usr/local/squid/etc/bloqueados/usuariosbloqueadosintegral.txt"
acl usuariosliberadosintegral proxy_auth_regex -i
"/usr/local/squid/etc/liberados/usuariosliberadosintegral.txt"
# acl time_interval_allowed proxy_auth_regex -i
"/usr/local/squid/etc/bloqueados/time_interval_allowed.txt"
acl tipos_mime_bloqueados rep_mime_type -i
"/usr/local/squid/etc/bloqueados/tipos_mime_bloqueados.txt"
# acl TIME_INTERVAL time 13:30-18:40
# acl de restricao de horario: Seg-Sex das 13h00 as 19h00
acl MANHA time MTWHF 08:00-12:00
acl TARDE time MTWHF 14:00-18:00
# nao funciona : acl TIME_RESTRICTED MANHA TARDE
# Controle de acesso por endereço
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl backbone src 150.150.0.0/255.255.0.0
acl matriz src 172.17.0.0/255.255.0.0
acl filiais src 172.16.0.0/255.255.0.0
# Controle de autenticação
acl autenticado proxy_auth REQUIRED
# Controle de acesso através de Portas
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 8081 # ftp
acl Safe_ports port 443 563 # https, snews
#acl Safe_ports port 70 # gopher
#acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
#acl Safe_ports port 280 # http-mgmt
#acl Safe_ports port 488 # gss-http
#acl Safe_ports port 591 # filemaker
#acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# Acesso ao gerenciamento
http_access allow manager localhost
#http_access allow manager backbone
#http_access allow manager matriz
http_access deny manager
# Sites proibidos no proxy
http_access deny listanegraintegral
# Sites sem restrição no proxy
http_access allow listabrancaintegral
# Usuarios privilegiados
http_access allow usuariosliberadosintegral
# Sites com restrição no proxy
http_access deny listanegraexpediente MANHA
http_access deny listanegraexpediente TARDE
# Liberação de acesso autenticado à internet
http_access allow autenticado !usuariosbloqueadosintegral !MANHA !TARDE
http_access deny autenticado MANHA
http_access deny autenticado TARDE
# http_access allow autenticado !usuariosbloqueadosintegral
!time_interval_allowed
# http_access allow autenticado time_interval_allowed !TIME_INTERVAL
# http_access deny time_interval_allowed
# Liberação de acesso sem autenticação de usuários
#http_access allow matriz
#http_access allow backbone
#http_access allow filiais
# Liberação por portas
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access deny tipos_mime_bloqueados
http_reply_access allow all
icp_access deny all
#icp_access allow all
coredump_dir /lv00/squid/cache
# Opções da página
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
# Opções específica deste servidor
visible_hostname empresa.com.br
cache_effective_user squid
cache_effective_group squid
cache_mgr [EMAIL PROTECTED]
#cachemgr_passwd suporte all
#neighbor_type_domain empresa.com.br
append_domain .empresa.com.br
# Configurações de Log Rotate
logfile_rotate 10
icon_directory /usr/local/squid/share/icons
error_directory /usr/local/squid/share/errors/Portuguese
# Tamanho maximo de um objeto que serah guardado em filesystem
maximum_object_size 16384 kb
# Tamanho maximo que um ojbeto serah guardado em memoria
maximum_object_size_in_memory 40 kb
Enviar mensagem: [email protected]
Assinar: [EMAIL PROTECTED]
Cancelar assinatura: [EMAIL PROTECTED]
Proprietário da lista: [EMAIL PROTECTED]
http://www.penguintech.com.br Penguin Tech - Solucoes LINUX.
Links do Yahoo! Grupos
<*> Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/squid-br/
<*> Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
<*> O uso que você faz do Yahoo! Grupos está sujeito aos:
http://br.yahoo.com/info/utos.html
