Squid 3.3.3 - Slackware 14- Problema com muitos acessos a um site SSL

bionder
(usa CentOS)

Enviado em 20/03/2013 - 10:19h

Sou novo no viva linux, o site já resolveu bastante os meu problemas, já fiz várias pequisas no google e no vol, e nenhuma resolveu o meu problema em questão, O que ocorre:
Trabalho em uma empresa de telemarketing com mais ou menos 200 funcionários, todos acessam um servidor Slackware 14 com o squid 3.3.3 não transparente com autenticação com um link de 10mb, estamos com problemas no acesso a uma aplicação web que só é possível com os browsers Firefox e Chrome. acontece que quando os funcionários iniciam seu expediente ao primeiro acesso ao site ele começa a ficar lento até não exibir a página, mais quando acessam aos poucos o site acessa normal até um certo limite de acessos.

Configuração Servidor
Dual core, 2gb Ram , 80gb , 1 placa rede onboard Broadcom, 1 placa de rede offboard Encore ENLGA-1320.

Perguntas?
Será que o problema pode estar relacionado ao Servidor, ou a placa de rede?
Ou será que pode está relacionado com a configuração do Squid?

Obs: Mesmo sem usar o Squid , MASCARANDO o problema ocorre.

Squid.conf
#
# Arquivo de Configuração Squid
#
# Squid normally listens to port 3128
http_port 3128
visible_hostname Proxy-Squid

cache_effective_user squid
error_directory /usr/local/squid/share/errors/pt-br/

auth_param basic program /usr/local/squid/libexec/basic_ncsa_auth /usr/local/squid/etc/passwd
auth_param basic children 5
auth_param basic realm Servidor Proxy Squid PROATIVA
auth_param basic credentialsttl 2 hours

dns_nameservers 208.67.222.222
dns_nameservers 208.67.220.220

# ----------------------------------- ACLS PERSONALISADAS ------------------------------ #
acl PASSWORD proxy_auth REQUIRED

acl rede src 10.8.1.0/24
#acl rede src 10.9.1.0/24
acl maneger proto cache_object
acl localhost src 127.0.0.0/32


acl avg dstdomain free.grisoft.cz
acl adaware dstdomain .lavasoftusa.com
acl adaware dstdomain .whenu.com
acl windowsupdate dstdomain codecs.microsoft.com
acl windowsupdate dstdomain activex.microsoft.com
acl windowsupdate dstdomain windowsupdate.microsoft.com
acl nai dstdomain ftp.nai.com
acl conectividade_social dstdomain obsupgdp.caixa.gov.br
acl receita dstdomain .receita.fazenda.gov.br
acl bmg dstdomain .bancobmg.com.br
acl bmgconsig dstdomain .bmgconsig.com.br

#------Paginas Sem cache----------#
acl QUERY urlpath_regex cgi-bin \?
acl SEM_CACHE url_regex -i "/usr/local/squid/etc/sem_cache.txt"
no_cache deny QUERY
no_cache deny SEM_CACHE

#---------------------------------#

#--ACL PALAVRAS/SITES BLOQUEADOS
acl BLOQUEADOS url_regex -i "/usr/local/squid/etc/bloqueados.txt"

#--ACL CALLCENTER
acl callcenter proxy_auth callcenter
acl SITES_CALLCENTER url_regex -i "/usr/local/squid/etc/sites_callcenter.txt"

#--ACL POSVENDAS
acl posvendas proxy_auth posvendas
acl SITES_ADMINISTRATIVO url_regex -i "/usr/local/squid/etc/sites_administrativo.txt"

#--ACL USUARIOS LIBERADOS GERAL
acl rodrigo proxy_auth rodrigo
acl davidson proxy_auth davidson
acl rafael proxy_auth rafael
acl magali proxy_auth magali
#--ACL USUARIOS LIBERADOS PADRÃO
acl daniele.silva proxy_auth daniele.silva
acl renata.reis proxy_auth renata.reis
acl bruna.costa proxy_auth bruna.costa
acl renato.silva proxy_auth renato.silva
acl tatiane.souza proxy_auth tatiane.souza
acl kenia.lessa proxy_auth kenia.lessa
acl aline.xavier proxy_auth aline.xavier
acl elaine.rocha proxy_auth elaine.rocha
acl filipe.campolina proxy_auth filipe.campolina
acl fernanda.nunes proxy_auth fernanda.nunes
acl vera.lucia proxy_auth vera.lucia
# ------------------------------- FIM DAS ACLS PERSONALISADAS -------------------------- #

# ------------------------------- ACLS PADRÃO -------------------------------------------#

acl SSL_ports port 443 563 873
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 873 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# ------------------------------ FIM ACLS PADRÃO --------------------------------------#

# ------------------------------ REGRAS DAS ACLS --------------------------------------#
http_access allow localhost manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# ---- Usuarios Liberados Geral ------------ #

http_access allow rodrigo all
http_access allow davidson all
http_access allow rafael all
http_access allow magali all

# ---- Fim dos Usuarios Liberados Geral ---- #

http_access deny !rede all
http_access deny BLOQUEADOS all
http_access allow receita all
http_access allow bmg all
http_access allow bmgconsig all

http_access allow daniele.silva all
http_access allow renata.reis all
http_access allow bruna.costa all
http_access allow renato.silva all
http_access allow tatiane.souza all
http_access allow kenia.lessa all
http_access allow aline.xavier all
http_access allow elaine.rocha all
http_access allow filipe.campolina all
http_access allow fernanda.nunes all
http_access allow vera.lucia all

http_access allow callcenter SITES_CALLCENTER
http_access allow posvendas SITES_ADMINISTRATIVO
# And finally deny all other access to this proxy
http_access deny all
http_access deny !PASSWORD all


# ------------------------------ FIM REGRAS ACL -------------------------------- #

#------------------------------- configurando cache ---------------------------- #

cache_mem 256 MB
maximum_object_size_in_memory 1024 kb
maximum_object_size 100 MB
minimum_object_size 0 KB

# Squid normally listens to port 3128
http_port 3128
visible_hostname Proxy-Squid PROATIVA
cache_swap_low 90
cache_swap_high 95


# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /usr/local/squid/var/cache/ 512 16 256
#cache_dir ufs /usr/local/squid/var/cache/2 100 16 256
#cache_dir ufs /usr/local/squid/var/cache/3 100 16 256
#cache_dir ufs /usr/local/squid/var/cache/4 100 16 254
#cache_dir ufs /usr/local/squid/var/cache/5 100 16 256

#cache_dir diskd /usr/local/squid/var/cache/ 10000 64 254 Q1=64 Q2=72

# Leave coredumps in the first cache dir
coredump_dir /usr/local/squid/var/cache/squid

cache_access_log /usr/local/squid/var/logs/access.log

cache_log /usr/local/squid/var/logs/cache.log

cache_store_log none

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#max_filedescriptors 16384
half_closed_clients off
# ------------------------------- Fim conf cache --------------------------------- #

#httpd_accel_port 80
#httpd_accel_host virtual
#httpd_accel_with_proxy_on
#httpd_accel_uses_host_header on

lucas peregrino
(usa Debian)

Enviado em 20/03/2013 - 11:27h

Qual seria o site ???? ele e http ou https.

saitam
(usa Slackware)

Enviado em 20/03/2013 - 11:57h

verifique se chave do site https esta ativa ou já expirou, pois tem prazo depende de quem criou a chave SSL.

bionder
(usa CentOS)

Enviado em 20/03/2013 - 12:00h

https
https://gestaomailing.bancobmg.com.br

Só acontece a lentidão nos horarios de pico, no inicio de expediente e na troca de turno, mais quando os clientes vão acessando aos poucos ai o site acessa normalmente.

bionder
(usa CentOS)

Enviado em 20/03/2013 - 12:07h

Desculpe, mais como verifico se a chave expirou?

lucas peregrino
(usa Debian)

Enviado em 20/03/2013 - 12:24h

Aparti do momento em que você gera o certificado ao importa o certificado para navegador ele te da a data para expirar.

lucas peregrino
(usa Debian)

Enviado em 20/03/2013 - 12:28h

Você esta trabalhando com o proxy autenticado no internet explorer opções de internet conexão configuração da lan onde vc habilita o proxy tem ao lado uma opção avançados em baixo tem um campo para digitar sites escreva la gestaomailing.bancobmg.com.br com isso o proxy não ira fazer uma leitura sobre esse site e veja se vai fica lento ao trabalhar.

nanatinho
(usa Debian)

Enviado em 20/03/2013 - 12:48h

Boa tarde.

Tive um problema parecido com o teu, e foi resolvido, criando uma acl acima da acl que obriga a autenticação, do tipo url, onde o conteúdo seria a parte que aparece no log do squid algo do tipo: gestaomailing.bancobmg.com.br:443

Houve outro caso, onde foi necessário não fazer cache deste domínio.

Antes de implementar, faça o teste em um equipamento, fazendo com que o acesso saia diretamente pelo firewall sem passar pelo squid.



Abraço e fq com DEUS!!!

bionder
(usa CentOS)

Enviado em 20/03/2013 - 14:12h

Agradeço a todos pela atenção.
As portas 80 e 443 são bloqueadas, para que os usuários sejam obrigados a usar o proxy
O engraçado que, mesmo sem passar pelo proxy no mesmo servidor MASCARANDO toda a LAN sem nenhum bloqueio o erro persiste, quando a quantidade de acessos é alto.

Desculpe a ignorância, mais sobre a questão da chave, não gero nenhum certificado, ou melhor como posso fazer isso?

bionder
(usa CentOS)

Enviado em 20/03/2013 - 14:30h

nanatinho
O domínio já está configurado para não fazer cache, já configurei um equipamento para passar somente no firewall e mesmo assim persiste, por isso estou na duvida se é realmente problema no hardware, servidor ou placa de rede.
O problema que só posso fazer o teste no inicio do expediente, que é quando o problema ocorre.

bionder
(usa CentOS)

Enviado em 21/03/2013 - 08:05h

Ontem a tarde simplesmente o site parou, ai fiz uma tentativa, que não tinha nada haver com o proxy, criei outra conta de usuário no AD, os usuários logaram com está conta e o site voltou a funcionar, e a conta é linkada com a mesma GPO que estava acontecendo o problema, ta muito estranho.
A validade do certificado é para junho de 2014.

nanatinho
(usa Debian)

Enviado em 22/03/2013 - 12:47h

Boa tarde.

O problema ocorre para outros acessos https, ou apenas para este?

Outras hipóteses: Já chegou a monitorar o teu link de internet, para saber se não está com sobrecarga. Teu link é profissional ou é uma adsl?

Abraço e fq com DEUS!!!