Squid 2.6 слишком медленно открываются некоторые сайты

Есть сетка 10 пользователей. P4-1400/512RAM/40gb hdd. OpenBSD 4.2, + squid 2.6.
У пользователей медленно (за 5мин) открывается nix.ru и mail.qip.ru. Т.е. видно что "ожидание ответа от сайта www.nix.ru" и кроме значка сайта и описания рядом с адресной строкой ничего не происходит. (как пустая страница). Примерно через 5минут сайт открывается. Другие сайты загружаются более-менее быстро (но не так без squid). В конфиге пробовал снимать все acl, все разрешал - проблема осталась. Проблема именно в сквиде. Мимо squid все сайты открываются моментально.
Сонфиг squid
------------------------------------------------------
http_port 3128
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

cache_dir ufs /var/squid/cache 100 16 256

logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %h" "%{User-Agent}>h" %Ss:%Sh

access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log

#cache_store_log /var/squid/logs/store.log
cache_store_log none
dns_nameservers мой_провайдер_DNS_раз мой_провайдер_DNS_два

pid_filename /var/squid/logs/squid.pid
error_directory /usr/local/share/squid/errors/Russian-1251
coredump_dir /var/squid/cache

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443
acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
# acl Safe_ports port 70 # gopher
# acl Safe_ports port 210 # wais
# acl Safe_ports port 1025-65535 # unregistered ports
# acl Safe_ports port 280 # http-mgmt
# acl Safe_ports port 488 # gss-http
# acl Safe_ports port 591 # filemaker
# acl Safe_ports port 777 # multiling http

acl Safe_ports port 5190 # 5190 ICQ
acl Safe_ports port 8400

acl CONNECT method CONNECT

acl BANNER url_regex -i "/etc/squid/%banners.acl"

acl NOBANNER url_regex -i "/etc/squid/%nobanners.acl"
http_access deny BANNER !NOBANNER

acl URL_PORNO url_regex -i "/etc/squid/%url_porno.acl"
http_access deny URL_PORNO !NOBANNER

acl URL_REKLAMA url_regex -i "/etc/squid/%url_reklama.acl"
http_access deny URL_REKLAMA !NOBANNER

acl URL_SOC url_regex -i "/etc/squid/%url_soc.acl"
http_access deny URL_SOC !NOBANNER

acl URL_ZNAK url_regex -i "/etc/squid/%url_znak.acl"
http_access deny URL_ZNAK !NOBANNER

acl URL_ANONIM url_regex -i "/etc/squid/%url_anonim.acl"
http_access deny URL_ANONIM !NOBANNER

acl URL_PROXY url_regex -i "/etc/squid/%url_proxy.acl"
http_access deny URL_PROXY !NOBANNER

acl URL_FIGNIA url_regex -i "/etc/squid/%url_fignia.acl"
http_access deny URL_FIGNIA !NOBANNER

acl blockfiles urlpath_regex "/etc/squid/blockfiles.acl"
http_access deny blockfiles

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl our_networks src 192.168.0.0/24
http_access allow our_networks

http_access deny all
http_reply_access allow all
icp_access allow all

header_access X-Forwarded-For deny all
header_access Via deny all
header_access Cache-Control deny all

header_access From deny all
header_access Referer deny all
header_access Server deny all
header_access User-Agent deny all
#header_access WWW-Authenticate deny all
header_access Link deny all

#типа мы теперь IE
header_access Accept-Language deny all
header_access Accept-Charset deny all
header_access Cache-Control deny all
header_access Connection deny all
header_access Accept-Encoding deny all

header_replace User-Agent Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
header_replace Accept-Language ru
header_replace Accept-Charset
header_replace Cache-Control no-cache
header_replace Connection Keep-Alive
header_replace Accept-Encoding gzip, deflate
------------------------------------------------------

Подскажите как можно решить данную проблему.

Аватар пользователя BABUT

если

если действительно убиралось всё и так тестировалось, то я бы поставил на днс

Аватар пользователя wolf da

Мимо squid все сайты открываются моментально.

я не понял вашего ответа

Аватар пользователя BABUT

wolf da, для теста

wolf da, для теста оставляй в конфиге необходимый минимум(а это точно не то, что ты привёл). выясни отличается ли, в плане использования днс, работа напрямую и через сквид. в мою голову не приходит ничего другого подходящего, что могло бы вызывать существенные задержки, при этом не приводя к фатальному результату.

ps: неплохой идеей было бы поднять свой днс-сервер

Аватар пользователя wolf da

ps: неплохой

ps: неплохой идеей было бы поднять свой днс-сервер

1. зачем ?
2. трафик сильно возрастет ?

Аватар пользователя BABUT

кэшировать

кэшировать ответы. если узкое место не в этом, то заметного выигрыша не будет

Аватар пользователя solus

В логах есть

В логах есть что нибудь подозрительное ?

Аватар пользователя taras5

В логах есть что нибудь подозрительное ?

Например, следы крови, отпечатки пальцев или ссадины ))))
Простите за оффтоп.

Аватар пользователя KOT

попробуй

попробуй убрать dns_nameservers
и где cache_mem и cache_swap_* , ipcache_*
и вообще загляни сюда http://squid.opennet.ru/
возможно еще вариант того что прокси анонимен, сервер пытается определить что за клиент к нему ломится, некоторые сайты аля хакер.ру аще не пущают )))

Аватар пользователя wolf da

Убрал

Убрал анонимность, стало гораздо легче, но не совсем.
# header_access X-Forwarded-For deny all
# header_access Via deny all
# header_access Cache-Control deny all

Не хочется светить внутренние IP. Что-то можно сделать, что бы не терять
скорость ?

Аватар пользователя KOT

убирать эти

убирать эти параметры как раз и не стоит.
поиграйся с header_access.
а не больших тормозов не избежать, так как я уже говорил что ресурс каторый посещается пробует определить что за клиент к нему щемится, и отдает контент на основание собраной о клинте информации. таких сайтов не так много каторые так детально относятся к инфе о клинте.
собственно для вылизывания конфига рекомендую вот эти ресурсы.
http://www.cotse.com/proxycheck2.htm
http://checker.samair.ru
http://leader.ru/secure/who.html
--------------------------------------------------

должно быть у тебя в случае правильной настройки вот такая картина после теста.
Main anonymous proxy test variables (all must be "none")
HTTP_FORWARDED: (none)
HTTP_X_FORWARDED_FOR: (none)
HTTP_CLIENT_IP: (none)
Additional proxy variables
HTTP_VIA: (none)
HTTP_XROXY_CONNECTION: (none)
HTTP_PROXY_CONNECTION: (none)
Other interesting info about you
HTTP_USERAGENT_VIA: (none)
HTTP_USER_AGENT: можно у с квида подменить этот вывод или будет (none) если не указать ни чего
HTTP_ACCEPT_LANGUAGE: ru-RU,ru;q=0.9,en;q=0.8
REMOTE_HOST: (none)
HTTP_CONNECTION: (none)
SERVER_PROTOCOL: HTTP/1.0
HTTP_REFERER: (none)
HTTP_ACCEPT: (none)
HTTP_CACHE_CONTROL: (none)
HTTP_CACHE_INFO: (none)

Аватар пользователя BABUT

возможно это и

возможно это и правильно, но по опыту(а теория без практики ведь не стоит ничего, не так ли?) судя referer убирать не стоит, так же как и user_agent оставлять пустым. особенно это актуально, если кто будет ломиццо через эту проксю на сайты нетрадиционной сексуальной тематики, например на одноклассники.ру

Аватар пользователя KOT

выше я уже

выше я уже описал все возможные проблемы каторые могут быть связаны с даной настройкой, а user_agent как опять же говорилось подменяется чем угодно и это костылем не счтиется.

Аватар пользователя BABUT

"должно быть у

"должно быть у тебя в случае правильной настройки вот такая картина после теста"- это не совсем корректно по форме, примительно к тем же одноклассникам такая настройка не будет правильной. что касается сути, то с виду может казаться рабочим, но в тоже время корректно работать не будет, и это ни как не связанно с какими-то шпионскими поползновениями сайтов, а с, имхо, некоторой "наивностью" их разработчиков. особенно этим грешат мыльницы

Аватар пользователя KOT

сквид в

сквид в состояние подсунуть другой "юзер агент" и ресурс схавает на ура, и ни каких граблей.
и немного о конфедециальности, я думаю что всем известно что такое однокласники и такого рода ресурсы, я пологаю вопрос снят по теме скрытности ))

Аватар пользователя alkolenko

Отличные

Отличные советы!

Растаможить груз