2013/8/28 EnioRM <eni...@gmail.com> > Pessoal tenho enfrentado um problema estranho, que já até enviei algumas > mensagens para a lista, mas por fim resolvi refazer todos os meus testes. > > Meu cenário > servidor com FreeBSD 9.2-prerelease (sources atualizado via csup e > recompilado) > O lusca_head instalado via ports (Squid Cache: Version LUSCA_HEAD-r14809) > utilizando as configurações padrão do ports. > > Logo de cara dois sites que não abrem nem com reza são: > www.mec.gov.br > www.vunesp.com.br > > > E por incrível que pareça tenho um outro lusca rodando num FreeBSD > 7.3-stable que também não abre. > > Quando eu digo que não abre, o lusca não exibe erro algum, nem denied nem > nada, simplesmente o navegador fica esperando resposta até dar timeout, no > caso da vunesp simplesmente o navegador para e a página fica em branco sem > carregar nada... só consta assim nos logs > > *access.log* > 1377698692.982 16856 192.168.0.42 TCP_MISS/000 0 GET > http://www.mec.gov.br/ stiadministrador DIRECT/200.130.2.135 - > 1377698692.982 16856 192.168.0.42 TCP_MISS/000 0 GET > http://www.mec.gov.br/ stiadministrador DIRECT/200.130.2.135 - > > *cache.log* > 2013/08/28 11:05:13| The request GET http://www.mec.gov.br/ is DENIED, > because it matched 'PASSWORD' > 2013/08/28 11:05:13| The reply for GET http://www.mec.gov.br/ is ALLOWED, > because it matched 'PASSWORD' > 2013/08/28 11:05:19| The request GET http://www.mec.gov.br/ is ALLOWED, > because it matched 'liberados_sites' > 2013/08/28 11:05:19| clientBeginForwarding: 0x80f21ea18: begin forwarding > request > > *access.log* > 1377699084.399 2 192.168.0.42 TCP_MEM_HIT/200 249 GET > http://www.vunesp.com.br/ stiadministrador NONE/- - > 1377699084.399 2 192.168.0.42 TCP_MEM_HIT/200 249 GET > http://www.vunesp.com.br/ stiadministrador NONE/- - > 1377699084.440 0 192.168.0.42 TCP_DENIED/407 1859 GET > http://www.vunesp.com.br/favicon.ico - NONE/- text/html > 1377699084.440 0 192.168.0.42 TCP_DENIED/407 1859 GET > http://www.vunesp.com.br/favicon.ico - NONE/- text/html > > *cache.log* > 2013/08/28 11:11:24| The reply for GET http://www.vunesp.com.br/ is > ALLOWED, because it matched 'facebook_sites' > 2013/08/28 11:11:24| The request GET http://www.vunesp.com.br/favicon.icois > DENIED, because it matched 'PASSWORD' > 2013/08/28 11:11:24| The reply for GET > http://www.vunesp.com.br/favicon.ico is ALLOWED, because it matched > 'PASSWORD' > > > > Só consigo abrir estes dois sites quando eu faço um nat e permito que meu > pc(navegador) abra os sites sem passar pelo lusca. > Navegadores testados, chrome, ie, firefox > > aguém sabe sobre isso ou percebeu algo parecido? > Detalhe: as regras do squid.conf não possui bloqueios para .gov.br > > abraços > > > -- > *ENIO R M* > *Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m* >
Saul Figueiredo e demais, acompanhem: Pessoal, depois de muitos testes eu identifiquei o causador do problema acima citado. Certa vez eu coletei algumas dicas sobre squid/lusca para otimizar o seu desempenho (segue lá em baixo) e uma delas era a clausula "forwarded_for" que por padrão vem setado para on, mas nas dicas tinha uma recomendação para ajustar para "off" e isso causava o problema com o site vunesp e mec.gov.br Não sei dizer qual é a relação entre o ajuste disto para off com o problema de não abrir os referidos sites. Ta certo que tem aquela regra: se não sabe o que é não toque! O forwarded_for aceita as opções on|off|transparent|delete|truncate O manual do squid diz que: *Se estiver definido para "on", o Squid irá acrescentar o endereço IP do seu cliente* *nas solicitações HTTP para a frente. Por padrão, ele se parece com:* *X-Forwarded-For: 192.1.2.3* * * *Se for definido como "off", ele aparecerá como:* *X-Forwarded-For: unknown* * * *Se for definido como "transparent", Squid não irá alterar o* *cabeçalho X-Forwarded-For de qualquer forma.* * * *Se ajustado para "delete", Squid irá apagar todo o* *cabeçalho X-Forwarded-For.* * * *Se ajustado para "truncate", Squid irá remover todos as entradas X-Forwarded-For atuais, e colocar o IP do cliente como a única entrada.* ===== as dicas que usava para tunning, que foram coletadas, são essas *httpd_suppress_version_string on* *client_lifetime 30 minutes* *client_persistent_connections off* *collapsed_forwarding on* *detect_broken_pconn on* * * *# CUIDADO: setar para off da problema com site: vunesp, mec.gov.br* *forwarded_for transparent # deixar 'on' ou 'transparent'* * * *fqdncache_size 16384* *half_closed_clients off* *ipcache_high 99* *ipcache_low 98* *ipcache_size 16384* *log_fqdn off* *log_icp_queries off* *memory_pools off* *negative_dns_ttl 60 seconds* *negative_ttl 30 seconds* *pconn_timeout 15 seconds* *pipeline_prefetch on* *positive_dns_ttl 6 hours* *quick_abort_max 0 KB* *quick_abort_min 0 KB* *quick_abort_pct 100* *read_timeout 30 minutes* *reload_into_ims on* *request_timeout 1 minute* *server_persistent_connections on* *store_avg_object_size 1024 KB* *strip_query_terms off* *vary_ignore_expire on* *uri_whitespace strip* *client_db on* *#accept_filter httpready # FreeBSD apenas (requer opção no kernel recompilado)* se alguém ter algum comentário a fazer sobre alguma dessas opções eu ficarei grato e acredito que o pessoal da lista também :D abraços -- *ENIO R M* *Backup na nuvem **com o Dropbox **http://db.tt/VfwUj00m* ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
