Estabilidade Squid - Nega e Libera com refresh F5 [RESOLVIDO]

peppermate
(usa Ubuntu)

Enviado em 04/11/2013 - 11:32h

Olá pessoal! Tudo bem?
Meu squid (rodando em uma VM com 4GB RAM, disco de 100GB), com autenticação AD, reports (SARG, Squidanlyzer, Webmin e o baralho a 4), cahce, lista de permissões e tudo mais está funcionando muito bem! Estou feliz!
De uns dias para pá venho observando que quando chamo sites que tenho acesso, por exemplo uol.com.br, o squid NEGA o acesso e para tudo, como se eu realmente não tivesse acesso, MAS se mando um F5 ou Refresh ou Atualizar, como queiram, o site carrega e passa normalmente.
Isso é muito chato.
Alguém já passou por isso antes?
Tem algo relacionado com a forma que as regras estão dispostas no squid.conf? Coloquei parte do arquivo abaixo...
Obrigado pela atenção e ajuda!

OBS.: Se ficarei felizes com criticas e sugestões para a configuração abaixo. Criticas tb são bem-vindas :)

# Libera acesso FTP
http_access allow ftp

# libera médo POST sem autenticaç. Para evitar problemas
http_access allow POST

http_access allow purge localhost

# Libera acesso a sites sem autnticacao no Squid
http_access allow sites_liberados_sem_auth !sites_proibidos

# Libera Microsoft Crypto API
http_access allow rede_local ms_cryptoapi_browser

# regras das acls de controle (bloqueio e politicas de rede)
http_access allow manager localhost
http_access deny manager

# Regra para acesso do grupo Brazil_Acesso_PADRAO, menos os sites proibidos da lista
http_access allow rede_local acesso_padrao !sites_proibidos !palavras_proibidas

# WENGO Regra para acesso do grupo BR_Internet_W, menos as palavras e sites proibidos da lista
http_access allow rede_local acesso_wengo sites_w !sites_proibidos !palavras_proibidas !sites_liberados_sem_auth

# regra de acesso para acesso FULL a internet - somente os mais "*odas", gerentes e diretores
http_access allow rede_local acesso_completo

# regras das acls de portas - bloqueia todas as portas nao listadas
http_access deny CONNECT !Safe_ports

# bloqueia conexao das portas seguras nao listadas
http_access deny CONNECT !SSL_ports

# Nega acesso aos sites proibidos, exceto os sites liberados pela lista
http_access deny sites_proibidos !sites_liberados

# Nega acesso a qualquer palavra inserida na lista das palavras proibidas, exceto as palavras liberadas.
http_access deny palavras_proibidas !palavras_liberadas

# Nega acesso ao grupo Brazil_Acesso_Bloqueado do AD. Quem estiver dentro deste grupo NAO tera acesso a internet
http_access deny acesso_bloqueado

# Regra de seguranca que nega acesso a tudo que passar pelas listas acima
http_access deny all

# Libera iTunes
http_access allow itunes_browser

# libera médo POST sem autenticaç. Para evitar problemas
http_access allow POST

http_access deny purge

# HTTP REPLY ACCESS
http_reply_access allow all
http_access deny all

# ICP ACCESS
icp_access deny all

# Safe Ports
http_access allow Safe_ports

# MISS ACCESS
miss_access allow rede_local
miss_access deny all

# MODO DE FTP PASSIVO
ftp_passive on

# Negar cache de cgi-bin
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# negar cache de POST
acl POSTS method POST
cache deny POST

 

Buckminster
(usa Debian)

Enviado em 04/11/2013 - 11:42h

Sempre termine o Squid com as três linhas abaixo. http_access deny all SEMPRE deve ser a última regras das ACLs, pois esta regra nega tudo o que não foi liberado/bloqueado ACIMA dela.

http_access allow rede_local
http_access allow localhost
http_access deny all

E ACLs assim

http_access deny palavras_proibidas !palavras_liberadas

procure deixar assim

http_access deny palavras_proibidas palavras_liberadas
http_access allow palavras_liberadas

O Squid se acha perfeitamente com essa duas regras e fica melhor organizado.
Se você usar muito o ponto de exclamação '!' em várias regras com as mesmas ACLs como você está usando, pode acontecer de o Squid se perder e ficar lento.

E regras do tipo

http_access allow rede_local acesso_padrao !sites_proibidos !palavras_proibidas

não precisa colocar a rede local na regra, somente libere ela no final; colocando a rede local junto em várias regras você estará amarrando ela com as ACLs da regra.

http://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes?pagina=4

peppermate
(usa Ubuntu)

Enviado em 04/11/2013 - 13:28h

Cara, show de bola!!! E muito rápido!
Já apliquei suas sugestões e vou ver se dão resultado. Enquanto analiso, vou ler e aplicar as sugestões do link enviado.
Muito obrigado!!!!


Se mais alguém tiver alguma dica/critica, por favor.... :)