Servidor

1. Servidor

Marcos Hauk
marcoshauk

(usa Outra)

Enviado em 17/02/2010 - 09:31h

Ola pessoal estou com um problema serio aqui na minha rede tenho uma rede com 42 pcs onde 2 deles uso como servidores 1 para dados e outro para net, o da net uso conectiva 10 com algumas regras no firewall que bloqueia porta do msn do outlook e todos os sites, uso proxy squid 2.5 que libera site de acordo com cada setor ou seja libera somente site que cada setor usa e nada mais o meu squid e esse:

proxy transparente

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10000 KB
minimum_object_size 0 KB
fqdncache_size 1024
cache_replacement_policy lru
cache_dir ufs /var/cache/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
client_netmask 255.255.255.255
dns_nameservers 10.0.0.1 192.168.0.1
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95
half_closed_clients on
acl all src 0.0.0.0/0.0.0.0
acl acesso_proxy src 192.168.1.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

acl ip30 src 192.168.0.30
acl ip31 src 192.168.0.31
acl ip32 src 192.168.0.32
acl ip33 src 192.168.0.33
acl ip34 src 192.168.0.34
acl ip35 src 192.168.0.35
acl ip36 src 192.168.0.36
acl ip37 src 192.168.0.37
acl ip38 src 192.168.0.38
acl ip43 src 192.168.0.43
acl ip44 src 192.168.0.44
acl ip46 src 192.168.0.46
acl ip47 src 192.168.0.47
acl ip48 src 192.168.0.48
acl ip49 src 192.168.0.49
acl ip50 src 192.168.0.50
acl ip51 src 192.168.0.51
acl ip52 src 192.168.0.52
acl ip53 src 192.168.0.53
acl ip54 src 192.168.0.54
acl ip55 src 192.168.0.55
acl ip56 src 192.168.0.56
acl ip57 src 192.168.0.57
acl ip58 src 192.168.0.58
acl ip59 src 192.168.0.59
acl ip60 src 192.168.0.60
acl ip61 src 192.168.0.61
acl ip63 src 192.168.0.63
acl ip64 src 192.168.0.64
acl ip65 src 192.168.0.65
acl ip66 src 192.168.0.66
acl ip67 src 192.168.0.67
acl ip68 src 192.168.0.68
acl ip69 src 192.168.0.69
acl ip70 src 192.168.0.70

acl msn1 dstdomain .hotmail.com
acl msn2 dstdomain .loginnet.passport.com
acl msn3 dstdomain .login.live.com
acl msn4 dstdomain .webmessenger.com
acl msn5 dstdomain .hotmail.msn.com
acl msn6 dstdomain .sn113w.snt113.mail.live.com
acl msn7 dstdomain .mail.live.com
acl pop dstdomain .pop.com.br
acl google dstdomain .google.com.br
acl terra dstdomain .terra.com.br
acl mail dstdomain .webmail.agromecagricola.com.br
acl site dstdomain .agromecagricola.com.br
acl site1 dstdomain .noticiasagricolas.com.br
acl insite dstdomain .insite.com.br
acl tempo dstdomain .climatempo.com.br
acl funec dstdomain .funecsantafe.edu.br
acl bradesco dstdomain .bradesco.com.br
acl juridica dstdomain .bradescopessoajuridica.com.br
acl officebb dstdomain .office.bancobrasil.com.br/office
acl brasil dstdomain .bancobrasil.com.br .bb.com.br
acl caixa dstdomain .nossacaixa.com.br
acl caixa1 dstdomain .caixa.gov.br
acl santander dstdomain .santander.com.br
acl empresario dstdomain .empresario.com.br
acl netbank dstdomain .internetbanking.caixa.gov.br
acl pmc dstdomain .pmc.ibge.gov.br
acl nexxera dstdomain .secure1.nexxera.com
acl redecar dstdomain .redecard.com.br
acl cielo dstdomain .cielo.com.br
acl tj dstdomain .tj.sp.gov.br
acl bcb dstdomain .bcb.gov.br
acl fazendarj dstdomain .fazenda.rj.gov.br
acl fazendaes dstdomain .sintegra.es.gov.br
acl fazendase dstdomain .sefaz.se.gov.br
acl fazendaal dstdomain .sefaz.al.gov.br
acl fazendape dstdomain .sefaz.pe.gov.br
acl fazendapb dstdomain .sintegra.receita.pb.gov.br
acl fazendarn dstdomain .set.rn.gov.br
acl fazendadf dstdomain .fazenda.df.gov.br
acl fazendaac dstdomain .sefaznet.ac.gov.br
acl fazendaba dstdomain .sefaz.ba.gov.br
acl fazendato dstdomain .sefaz.to.gov.br
acl fazendama dstdomain .sefaz.ma.gov.br
acl fazendapi dstdomain .sefaz.pi.gov.br
acl fazendace dstdomain .sefaz.ce.gov.br
acl fazendapa dstdomain .sefa.pa.gov.br
acl fazendaap dstdomain .sintegra.ap.gov.br
acl fazendaap1 dstdomain .intranet.sre.ap.gov.br
acl fazendaro dstdomain .sefin.ro.gov.br
acl fazendaam dstdomain .sefaz.am.gov.br
acl fazendarr dstdomain .sefaz.rr.gov.br
acl fazendamt dstdomain .sefaz.mt.gov.br
acl fazendago dstdomain .sefaz.go.gov.br
acl fazendamg dstdomain .fazenda.mg.gov.br
acl fazendams dstdomain .sefaz.ms.gov.br
acl fazendapr dstdomain .fazenda.pr.gov.br
acl fazendasc dstdomain .sef.sc.gov.br
acl fazendars dstdomain .sefaz.rs.gov.br
acl fazendasp dstdomain .fazenda.sp.gov.br
acl fazenda1 dstdomain .fazenda.gov.br
acl fazenda2 dstdomain .pfe.fazenda.sp.gov.br
acl sintegra dstdomain .sintegra.com.br
acl sintegra1 dstdomain .sintegra.gov.br
acl check dstdomain .checkcheck.com.br
acl protesto dstdomain .protesto.com.br
acl correio dstdomain .correios.com.br
acl receita dstdomain .receita.fazenda.gov.br
acl jf dstdomain .jf.jus.br
acl detran dstdomain .detran.sp.gov.br
acl servo dstdomain .creasp.org.br
acl bayer dstdomain .bayer.com.br
acl ibama dstdomain .ibama.gov.br
acl stihl dstdomain .stihl.com.br
acl varna dstdomain .revendas.husqvarna.com.br
acl varna1 dstdomain .servicos.husqvarna.com.br
acl varna2 dstdomain .husqvarna.com/br
acl varna3 dstdomain .support.br.husqvarna.com
acl varna4 dstdomain .parceirobalcaohusqvarna.com.br
acl baldan dstdomain .baldan.com.br
acl itece dstdomain .itece.com.br
acl basf dstdomain .agro.basf.com.br
acl abcz dstdomain .abcz.org.br
acl embrapa dstdomain .embrapa.br
acl portal dstdomain .portaldbo.com.br
acl baldebranco dstdomain .baldebranco.com.br
acl tecnopec dstdomain .tecnopec.com.br
acl canalrural dstdomain .canalrural.com.br
acl walmur dstdomain .walmur.com.br
acl rehagro dstdomain .rehagro.com.br
acl bayeranimal dstdomain .bayersaudeanimal.com.br
acl brmerial dstdomain .br.merial.com
acl fortdodge dstdomain .fortdodge.com.br
acl ourofino dstdomain .ourofino.com
acl matsuda dstdomain .matsuda.com.br
acl pfizer dstdomain .pfizersaudeanimal.com.br
acl vallee dstdomain .vallee.com.br
acl novartis dstdomain .novartis.com.br
acl herta dstdomain .hertapecalier.com.br
acl tortuga dstdomain .tortuga.com.br
acl burea dstdomain .bureautv.com.br
acl agener dstdomain .agener.com.br
acl vansil dstdomain .vansil.com.br
acl coacavo dstdomain .coacavo.com.br
acl intervet dstdomain .intervet.pt
acl eurofarma dstdomain .eurofarma.com.br
acl microsules dstdomain .laboratoriosmicrosules.com
acl virbac dstdomain .virbac.com.br
acl cevabrasil dstdomain .cevabrasil.com.br
acl java dstdomain .java.com
acl sun dstdomain .sun.com
acl flash dstdomain .adobe.com
acl cmt dstdomain .cmt.caixa.gov.br
acl cda dstdomain .cda.org.br
acl cati dstdomain .cati.sp.gov.br
acl mercadolivre dstdomain .mercadolivre.com.br
acl oferta dstdomain .todaoferta.uol.com.br
acl shopping dstdomain .shopping.uol.com.br
acl seguro dstdomain .pgseguro.uol.com.br
acl guachuka dstdomain .guachuka.com.br
acl multipec dstdomain .multipec.com.br
acl zebu dstdomain .zebu.com.br
acl peon dstdomain .peon.com.br
acl guarany dstdomain .guaranyindbr.com.br
acl apostila dstdomain .apostilando.com
acl cinestec dstdomain .cinestec.com.br
acl blucolor dstdomain .blucolor.com.br
acl eletronic dstdomain .atecheletronica.com
acl radioemege dstdomain .radioemege.com.br
acl milcomp dstdomain .milcomp.com.br
acl compomil dstdomain .compomil.com.br
acl power dstdomain .powercircuit.com.br
acl leite dstdomain .clinicadoleite.com.br
acl biofarm dstdomain .biofarm.com.br
acl dpvat dstdomain .dpvatseguro.com.br
acl comercioata dstdomain .sincomercioata.com.br
acl aracatuba dstdomain .seaacaracatuba.com.br
acl contmatic dstdomain .contmatic.com.br
acl advfn dstdomain .br.advfn.com
acl telefonica dstdomain .telefonica.com.br
acl jales dstdomain .jales.sp.gov.br
acl jales1 dstdomain .200.144.17.34
acl unijales dstdomain .unijales.com.br
acl uninet dstdomain .uninet.unijales.edu.br
acl pagto dstdomain .pagto.primeaction.com
acl prefsp dstdomain .prefeitura.sp.gov.br
acl capital dstdomain .capital.sp.gov.br
acl incra dstdomain .incra.gov.br
acl ccirweb dstdomain .ccirweb.serpro.gov.br
acl marchesan dstdomain .marchesan.com.br
acl brnt dstdomain .brnt1sp348.digiweb.com.br
acl petrobras dstdomain .br.com.br
acl vunesp dstdomain .vunesp.com.br
acl concursos dstdomain .pciconcursos.com.br

http_access allow SSL_ports

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny ip30 !java !sun !mail !insite !google !site !site1 !tempo !terra !pop !msn1 !msn2 !msn3 !msn4 !msn5 !msn6 !msn7 !brasil !pagto !capital !prefsp !cmt !sintegra !sintegra1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip31 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !fazendasp !sintegra !sintegra1 !check !protesto !correio !receita !jf !detran !brasil !cmt !sintegra !sintegra1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip32 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !fazendasp !sintegra !sintegra1 !vunesp !concursos !check !protesto !correio !receita !capital !prefsp !jf !detran !petrobras !brasil !cmt !brnt !dpvat !comercioata !aracatuba !empresario !contmatic !incra !ccirweb !advfn !sintegra !sintegra1 !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
#http_access deny ip33 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !check !protesto !correio !receita !jf !detran !brasil !cmt !sintegra !sintegra1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip34 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !sintegra !sintegra1 !fazendasp !sintegra !sintegra1 !check !protesto !correio !receita !jf !detran !brasil !bradesco !jales !jales1 !unijales !uninet !cmt !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip35 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !sintegra !sintegra1 !check !protesto !correio !receita !jf !detran !brasil !cmt !caixa !caixa1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip36 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !sintegra !sintegra1 !check !protesto !correio !receita !jf !detran !brasil !cmt !caixa !caixa1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn !funec !dpvat
http_access deny ip37 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !sintegra !sintegra1 !check !protesto !correio !receita !jf !detran !brasil !cmt !caixa !caixa1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip38 !java !sun !mail !insite !google !site !site1 !tempo !tj !bcb !sintegra !sintegra1 !check !protesto !correio !receita !jf !detran !brasil !cmt !caixa !caixa1 !vunesp !concursos !fazendasp !fazendars !fazendasc !fazendapr !fazendams !fazendamg !fazendago !fazendamt !fazendaro !fazendaac !fazendaba !fazendato !fazendama !fazendapi !fazendace !fazendapa !fazendaap !fazendaap1 !fazendaam !fazendarr !fazendadf !fazendarj !fazendaes !fazendase !fazendaal !fazendape !fazendapb !fazendarn
http_access deny ip43 !java !sun !mail !insite !google !site !site1 !tempo !bradesco !receita !juridica !officebb !caixa !santander !netbank !nexxera !redecar !cielo !fazenda2 !brasil
http_access deny ip44 !java !sun !mail !insite !google !site !site1 !tempo !bradesco !receita !juridica !officebb !caixa !santander !netbank !nexxera !redecar !cielo !fazenda2 !brasil !empresario !pmc
http_access deny ip46 !java !sun !mail !insite !google !site !site1 !tempo !brasil !santander
http_access deny ip47 !java !sun !mail !insite !google !site !site1 !tempo !brasil !santander
http_access deny ip48 !java !sun !mail !insite !google !site !site1 !tempo !incra !ccirweb
http_access deny ip49 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip50 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip51 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip52 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip53 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip54 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip55 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip56 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip57 !java !sun !mail !insite !google !site !site1 !tempo !caixa1
http_access deny ip58 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip59 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip60 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip61 !java !sun !mail !insite !google !site !site1 !tempo !abcz !embrapa !portal !baldebranco !tecnopec !canalrural !walmur !rehagro !bayeranimal !brmerial !fortdodge !ourofino !matsuda !pfizer !vallee !novartis !herta !tortuga !burea !agener !vansil !coacavo !intervet !eurofarma !biofarm !microsules !virbac !cevabrasil !cda !cati !leite !msn1 !msn2 !msn3 !msn4 !msn5 !msn6 !msn7
http_access deny ip63 !java !sun !mail !insite !google !site !site1 !tempo !mercadolivre !oferta !shopping !seguro !guachuka !multipec !zebu !walmur !peon !guarany !apostila !blucolor !cinestec !eletronic !radioemege !milcomp !compomil !power
http_access deny ip64 !java !sun !mail !insite !google !site !site1 !tempo !servo !bayer !fazendasp !fazenda1 !telefonica !correio
http_access deny ip65 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip66 !java !sun !mail !insite !google !site !site1 !tempo !ibama !stihl !marchesan !varna !varna1 !varna2 !varna3 !varna4 !baldan !itece !basf !flash
http_access deny ip67 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip68 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip69 !java !sun !mail !insite !google !site !site1 !tempo
http_access deny ip70 !java !sun !mail !insite !google !site !site1 !tempo


http_reply_access allow all
http_reply_access allow all
icp_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

como perceberam esta meio extenso e bagunçado o problema e que estava funcionando lento mas tava depois que liberei algumas paginas a mais ele paro de vez ficou muito lento e tem maquina que nao abre site nenhum, sera que o proxy ficou carregado com tantas paginas liberadas o pc que uso pra servidor tem 512 MB de memoria sera q pode ser isso tmb, ou estou usando servidor errado pra esse caso alguem pode me sugerir outra opcao de servidor que resolva meu problema.


  


2. Re: Servidor

Jefferson Diego
Diede

(usa Debian)

Enviado em 17/02/2010 - 16:47h

Amigo, olhando sua config., eu te recomendaria verificar o tamanho do logs (/var/log/squid/access.log e /var/log/squid/cache.log), e dependendo do tamanho deles, rotacioná-los (squid -k rotate). Quanto maior os logs, mais lento seu squid vai ficar.
Outra coisa é seu cache. Quando possível, páre seu squid (/etc/init.d/squid stop), e inicie-o pelo terminal com "squid -D -d3". Isso mostrará uma saída levemente verbosa, e dentre as informações você verá quantos items inválidos há no seu cache.
Se houver muitas entradas inválidas, apague o cache e crie-o novamente... deixará o squid mais rápido.
Outra recomendação seria atualizar esse squid... 2.5 é... "velho" (Ultima atualização em Maio de 2006) (Sei que seu squid aí já funcionou um dia, mas atualizar te dará 4 anos das possíveis correções referentes a performance/segurança)

Outra: Seu squid.conf é "meio" extenso... você poderia fazer algumas modificações na maneira de gerenciar as ACLs. A não ser que você use um software externo para processar isso (SquidGuard, por exemplo), o Squid irá processar todas a cada requisição...


#cache_dir ufs /var/cache/squid 100 16 256
Dependendo do que seus usuários acessam, 100MB pode ser muito pouco...

Mude o Quick_abort para 0... quando maior esse número menor performance real você terá...
quick_abort_min 0 KB
quick_abort_max 0 KB

#dns_nameservers 10.0.0.1 192.168.0.1
Só para saber: O 10.0.0.1 é acessível na sua rede?

Quanto as ACL:
Você poderia agrupar alumas ACL, para facilitar o gerenciamento do seu conf.
Isso:

acl msn1 dstdomain .hotmail.com
acl msn2 dstdomain .loginnet.passport.com
acl msn3 dstdomain .login.live.com
acl msn4 dstdomain .webmessenger.com
acl msn5 dstdomain .hotmail.msn.com
acl msn6 dstdomain .sn113w.snt113.mail.live.com
acl msn7 dstdomain .mail.live.com

poderia virar isto:

acl msn dstdomain .hotmail.com
acl msn dstdomain .loginnet.passport.com
acl msn dstdomain .login.live.com
acl msn dstdomain .webmessenger.com
acl msn dstdomain .hotmail.msn.com
acl msn dstdomain .sn113w.snt113.mail.live.com
acl msn dstdomain .mail.live.com

E então ao invés de usar:
http_access deny ip30 !msn1 !msn2 !msn3 !msn4 !msn5 !msn6 !msn7
você poderia usar:
http_access deny ip30 !msn






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts