[SQUID] Squid tornando acesso à internet extremamente lento...

[ultramagus]

Montei um servidor que entre outros serviços funciona como proxy (squid), porém a minha conexão depois de alguns dias de uso ficou absurdamente lenta, ao procurar uma alternativa encontrei o ZPH, instalei o path sem qualquer erro e a conexão ficou visivelmente melhor, porém continuou muito lento. Pensei então que o problema poderia ser algum processo detonando a memória... porém ao rodar o TOP retornou:

Cpu(s):  0.2%us,  0.3%sy,  0.0%ni, 99.5%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   8190804k total,  1097616k used,  7093188k free,   798476k buffers
Swap: 23993036k total,        0k used, 23993036k free,    72372k cached

Ou seja, muito pouco dos recursos estão sendo utilizados...

Segue meu squid.conf:

http_port 192.168.1.10:3128 transparent

zph_tos_local 0X10
zph_tos_peer 0x10
zph_tos_parent on
zph_preserve_miss_tos on
zph_preserve_miss_tos_mask 1

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 2048 MB
maximum_object_size_in_memory 200 KB
maximum_object_size 5120 MB
minimum_object_size 0 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA

cache_swap_low 90
cache_swap_high 95
cache_dir aufs /var/spool/squid 346112 64 256
cache_access_log /var/log/squid/access.log

visible_hostname cerberus

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21
acl Safe_ports port 25
acl Safe_ports port 43
acl Safe_ports port 53
acl Safe_ports port 70
acl Safe_ports port 80
acl Safe_ports port 110
acl Safe_ports port 210
acl Safe_ports port 280
acl Safe_ports port 443
acl Safe_ports port 488
acl Safe_ports port 563
acl Safe_ports port 587
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 5190
acl purge method PURGE
acl CONNECT method CONNECT

half_closed_clients off

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

acl redelocal src 192.168.1.0/24
acl usuario1 src 192.168.1.174
acl manutencao src 192.168.1.220
acl usuario2 src 192.168.1.157
acl usuario3 src 192.168.1.165
acl usuario4 src 192.168.1.163
acl usuario5 src 192.168.1.164
acl usuario6 src 192.168.1.159
acl domestrangulados dstdomain g1.globo.com www.g1.globo.com radio.musica.uol.com.br www.radio.musica.uol.com.br app.radio.musica.uol.com.br musica.uol.com.br www.musica.uol.com.br orkut.com www.orkut.com br.orkut.com orkut.com.br www.orkut.com.br radio.terra.com.br www.radioterrafm.com.br radioterrafm.com.br musica.terra.com.br www.musicaterra.com.br www.radioterra.fm.com.br radioterra.fm.com.br oifm.com.br www.oifm.com.br player.oifm.com.br www.planetamusica.com planetamusica.com globoesporte.globo.com www.globoesporte.globo.com msgr.dllservice.microsoft.com
delay_pools 5
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_class 5 2
delay_parameters 1 86016/86016 51200/51200
delay_parameters 2 86016/86016 16384/16384
delay_parameters 3 86016/86016 32768/32768
delay_parameters 4 86016/86016 8192/8192
delay_parameters 5 86016/86016 4096/4096

delay_access 1 allow usuario1
delay_access 1 allow manutencao
delay_access 2 allow usuario2
delay_access 2 allow usuario3
delay_access 2 allow usuario4
delay_access 3 allow usuario5
delay_access 4 allow usuario6
delay_access 4 allow domestrangulados
delay_access 5 allow redelocal

# CACHE DE VIDEOS - YOUTUBE
refresh_pattern -i \.flv$ 10080 90% 999999 ignore-no-cache override-expire ignore-private
quick_abort_min -1 KB
acl youtube dstdomain .youtube.com
cache allow youtube

# SITES QUE NAO ENTRAM NO CACHE
acl site dstdomain mte.gov.br www.mte.gov.br caixa.gov.br
always_direct allow site

# DOMINIOS BLOQUEADOS
acl dombloqueados dstdomain iplay.com.br www.iplay.com.br oifm.com.br www.oifm.com.br imusica.com.br www.imusica.com.br b.rad.live.com rad.live.com www.aiderss.com aiderss.com wmo.sonora.terra.com.br sonora.terra.com.br www.sonora.terra.com.br flycell.com.br www.flycell.com.br www.Terra.com.br/Sonora amadoras.blogger.com.br contosfemininos.com.br haznos.org disqus.com radio.musica.uol.com.br kboing.com.br www.kboing.com.br casadoscontos.com.br www.casadoscontos.com.br musica.ig.com.br www.musica.ig.com.br www.flexsite.com.br flexsite.com.br webvideos.kboing.com.br www.webvideos.kboing.com.br games.kboing.com.br www.games.kboing.com.br busca.kboing.com.br radioterrafm.com.br www.radioterrafm.com.br
http_access deny dombloqueados

http_access allow redelocal
http_access deny all

Amarrei os IPs aos MACs configurando o DHCP, e criei regras no iptables que fazem com que a conexão seja bloqueada caso um MAC cadastrado não utilize um ip especifico, ou seja, os usuários não podem alterar o IP...

O servidor DHCP está configurado para utilizar o OPENDNS e estou utilizando a censura dele com o DDCLIENT... o que está funcionando perfeitamente :)

Instalei o CUPs, mas ainda não consegui configurar satisfatoriamente duas impressoras XEROX Workcentre 415/420 nele...

E o samba como PDC para mais de 20 computadores, sem perfil móvel, por isso não deve estar causando congestionamentos na rede.

Sei que as delay pools estão bem... restritivas quanto a velocidade, mas devem atender as necessidades dos usuários, por exemplo a class 4 defini para usuários que não tem qualquer motivo profissional para acessar a internet, são aqueles que ficam detonando a rede... impedindo que quem trabalha com ela consiga trabalhar... na class 1 deixei liberada uma conexão de 400kb/s que não é um paraíso mas... deveria ser mais do que o suficiente para navegar, abrir emails e utilizar alguns aplicativos online (sites...) nesta classe está por exemplo o presidente/contadora/etc... Defini desta forma porque nossa conexão é de apenas 800kb/s que está sendo utilizada por mais de 20 computadores.

800kb/s é muito pouco para se ter uma navegação decente em uma rede assim, mas antes de utilizar o squid a conexão estava muito melhor, agora até mesmo os de class 1 apresentam lentidão extrema para abrir sites... muitas vezes retornam timeout...

Alguma luz no fim do túnel? Alguma forma de otimizar minhas configurações? Alguma idéia de onde esteja o erro que causa essa lentidão?

[ultramagus]

Instalei o OPENVPN e o Squid parou de fazer cache, a conexão continua funcionando... acesso sites e outros serviços sem problemas, mas nada fica no cache.

Nada foi alterado nas configurações do squid...
Já vasculhei erros no squid.conf e no iptables... não encontrei nenhuma alteração...

O que isto pode ser?

[lucianonc]

Rapaz, eu acho que é essa configuração que faz cache do youtube, porque meu squid estava ótimo e eu inventei de tentar fazer cache do youtube e acabei usando a sua regra. Resultado: ele nao fez mais o cache de página nehuma, so voltou ao normal quando retirei a regra.
Espero ter ajudado. 

[ultramagus]

Muito obrigado Luciano, ajudou bastante.