Estabilidade Squid - Nega e Libera com refresh F5 [RESOLVIDO]

peppermate
(usa Ubuntu)

Enviado em 04/11/2013 - 11:32h

Olá pessoal! Tudo bem?
Meu squid (rodando em uma VM com 4GB RAM, disco de 100GB), com autenticação AD, reports (SARG, Squidanlyzer, Webmin e o baralho a 4), cahce, lista de permissões e tudo mais está funcionando muito bem! Estou feliz!
De uns dias para pá venho observando que quando chamo sites que tenho acesso, por exemplo uol.com.br, o squid NEGA o acesso e para tudo, como se eu realmente não tivesse acesso, MAS se mando um F5 ou Refresh ou Atualizar, como queiram, o site carrega e passa normalmente.
Isso é muito chato.
Alguém já passou por isso antes?
Tem algo relacionado com a forma que as regras estão dispostas no squid.conf? Coloquei parte do arquivo abaixo...
Obrigado pela atenção e ajuda!

OBS.: Se ficarei felizes com criticas e sugestões para a configuração abaixo. Criticas tb são bem-vindas :)

# Libera acesso FTP

http_access allow ftp



# libera médo POST sem autenticaç. Para evitar problemas

http_access allow POST



http_access allow purge localhost



# Libera acesso a sites sem autnticacao no Squid

http_access allow sites_liberados_sem_auth !sites_proibidos



# Libera Microsoft Crypto API

http_access allow rede_local ms_cryptoapi_browser



# regras das acls de controle (bloqueio e politicas de rede)

http_access allow manager localhost

http_access deny manager



# Regra para acesso do grupo Brazil_Acesso_PADRAO, menos os sites proibidos da lista

http_access allow rede_local acesso_padrao !sites_proibidos !palavras_proibidas



# WENGO Regra para acesso do grupo BR_Internet_W, menos as palavras e sites proibidos da lista

http_access allow rede_local acesso_wengo sites_w !sites_proibidos !palavras_proibidas !sites_liberados_sem_auth



# regra de acesso para acesso FULL a internet - somente os mais "*odas", gerentes e diretores

http_access allow rede_local acesso_completo



# regras das acls de portas - bloqueia todas as portas nao listadas

http_access deny CONNECT !Safe_ports



# bloqueia conexao das portas seguras nao listadas

http_access deny CONNECT !SSL_ports



# Nega acesso aos sites proibidos, exceto os sites liberados pela lista

http_access deny sites_proibidos !sites_liberados



# Nega acesso a qualquer palavra inserida na lista das palavras proibidas, exceto as palavras liberadas.

http_access deny palavras_proibidas !palavras_liberadas



# Nega acesso ao grupo Brazil_Acesso_Bloqueado do AD. Quem estiver dentro deste grupo NAO tera acesso a internet

http_access deny acesso_bloqueado



# Regra de seguranca que nega acesso a tudo que passar pelas listas acima

http_access deny all



# Libera iTunes

http_access allow itunes_browser



# libera médo POST sem autenticaç. Para evitar problemas

http_access allow POST



http_access deny purge



# HTTP REPLY ACCESS

http_reply_access allow all

http_access deny all



# ICP ACCESS

icp_access deny all



# Safe Ports

http_access allow Safe_ports



# MISS ACCESS

miss_access allow rede_local

miss_access deny all



# MODO DE FTP PASSIVO

ftp_passive on



# Negar cache de cgi-bin

acl QUERY urlpath_regex cgi-bin \?

cache deny QUERY



# negar cache de POST

acl POSTS method POST

cache deny POST



 

Buckminster
(usa Debian)

Enviado em 04/11/2013 - 11:42h

Sempre termine o Squid com as três linhas abaixo. http_access deny all SEMPRE deve ser a última regras das ACLs, pois esta regra nega tudo o que não foi liberado/bloqueado ACIMA dela.

http_access allow rede_local
http_access allow localhost
http_access deny all

E ACLs assim

http_access deny palavras_proibidas !palavras_liberadas

procure deixar assim

http_access deny palavras_proibidas palavras_liberadas
http_access allow palavras_liberadas

O Squid se acha perfeitamente com essa duas regras e fica melhor organizado.
Se você usar muito o ponto de exclamação '!' em várias regras com as mesmas ACLs como você está usando, pode acontecer de o Squid se perder e ficar lento.

E regras do tipo

http_access allow rede_local acesso_padrao !sites_proibidos !palavras_proibidas

não precisa colocar a rede local na regra, somente libere ela no final; colocando a rede local junto em várias regras você estará amarrando ela com as ACLs da regra.

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes?pagina=4

peppermate
(usa Ubuntu)

Enviado em 04/11/2013 - 13:28h

Cara, show de bola!!! E muito rápido!
Já apliquei suas sugestões e vou ver se dão resultado. Enquanto analiso, vou ler e aplicar as sugestões do link enviado.
Muito obrigado!!!!


Se mais alguém tiver alguma dica/critica, por favor.... :)