forum.opennet.ru - "squid грузит 97% процессора" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"squid грузит 97% процессора"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"squid грузит 97% процессора"
Сообщение от Vlad_I on 07-Ноя-03, 12:19 (MSK)
Сквид мне недавно поставили (линукс чуть раньше), так что я чайник. Машина: Р166 64 Мб, Слакварь - ядро 2.2.19, ipchains, сквид 2.5, прозрачное проксирование (ipchains ... www -j REDIRECT 3128). Под сквид: 8 Мб RAM, 300 Мб кэш, поднят delay_pools. Все остальное ... не знаю что описывать. :) Вопрос такой: Со сквидом у меня непонятки происходят: вдруг начинает грузить проц на 90-97% и все замирает, трафик мгновенно падает. (наблюдения проводятся по команде "тор") на ./squid -k shutdown не реагирует, приходится килять. При повторном подъеме, через очень короткое время - то же самое. Предположения-подозрения-шаги: Появилась мысль что эту беду создают злобные качальщики, пользующиеся Козами, Ослами, Шаризами и т.д. (я сам, запустив Шаризу (Shareaza) получил этот результат. В Сквиде закрыл сейф порты: 21, 1025-65535 (кстати, какие еще бы закрыть безболезненно?). Мысль была, что из-за многопоточности и многочисленности запросов сквид не справляется. С закрытыми портами - то же самое - запросы-то остаются! (в логе это видно, толку-то что DENIED). Но самое интересное (только что обнаружил): в маскарадинге редирект выключен, запускаю прогу BobDown (специфическая такая качалка - аналог БитТоррента) и в сквиде появился лог, он хапнул своих 11 Мб и 3% ЦПУ... :)) Так понимаю, что что-то недокручено в squid.conf, но что?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

squid грузит 97% процессора, ipmanyak, 07:56 , 10-Ноя-03, (1)
- squid грузит 97% процессора, Vlad_I, 13:31 , 10-Ноя-03, (2)
  - squid грузит 97% процессора, ipmanyak, 15:43 , 10-Ноя-03, (3)
squid грузит 97% процессора, lithium, 13:40 , 17-Ноя-03, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "squid грузит 97% процессора"

Сообщение от ipmanyak on 10-Ноя-03, 07:56  (MSK)

показывай конфиг сквида, только без лишних комментариев плыз

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "squid грузит 97% процессора"

Сообщение от Vlad_I on 10-Ноя-03, 13:31  (MSK)

>показывай конфиг сквида, только без лишних комментариев плыз
Если совсем без...
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

maximum_object_size 32096 KB
cache_dir ufs /usr/local/squid/var/cache 500 16 256
emulate_httpd_log on
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
# acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
# acl Safe_ports port 1025-65535 # unregistered ports 1025-65535
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#MY_RULES: NO(porn; banners)
acl bob src 192.168.1.5/32  #понять меня можно - это я
acl Banners url_regex '/usr/local/squid/etc/ba'
acl Porno url_regex '/usr/local/squid/etc/por'
acl NoBanners url_regex '/usr/local/squid/etc/noba'
http_access allow bob
http_access allow NoBanners
http_access deny Banners
http_access deny Porno

http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks
http_access deny all
http_reply_access allow all
icp_access allow all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

#For liubiteli miltimedii
acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.rm$
delay_pools 1
delay_class 1 1
delay_access 1 allow multimedia
delay_access 1 deny all
delay_parameters 1 1000/1000

Ну и, на всякий случай, правила маскарадинга:
#!/bin/sh
all="0.0.0.0/0"
ipchains -F
ipchains -X
ipchains -A input -i lo -j ACCEPT
ipchains -A output -i lo -j ACCEPT

ipchains -P forward ACCEPT
ipchains -M -S 7200 10 60
ipchains -N vhod
ipchains -A input -i eth0 -j vhod
ipchains -A vhod -s 192.168.0.0/255.255.0.0 -j DENY -l
ipchains -A forward -s 192.168.1.0/24 -p ICMP -j MASQ
#  Transparent proxy
ipchains -A input -p tcp -d 192.168.1.1/32 www -j ACCEPT
ipchains -A input -p tcp -d 0/0 www -j REDIRECT 3128
ipchains -N res
ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 domain -j MASQ
ipchains -A res -p udp -s 192.168.1.0/24 -d 0.0.0.0/0 domain -j MASQ
ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 smtp -j MASQ
ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 nntp -j MASQ
ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 pop3 -j MASQ
ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 5190 -j MASQ
ipchains -A res -s 192.168.1.0/24 -d 0.0.0.0/0 -j DENY -l
ipchains -A forward -s 192.168.1.0/24 -j res

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "squid грузит 97% процессора"

Сообщение от ipmanyak on 10-Ноя-03, 15:43  (MSK)

пара советов :
>http_port 3128
лучше указать слушать на локальном интерфейсе например так:
http_port 192.168.1.1:3128
тогда в логах больше не увидишь тычков санружи на твой прокси и ответ для них - deny
>maximum_object_size 32096 KB
я бы оставил по умолчанию - 0 !  ты не сохраняешьв кэше объекты менее этого размера, а гифы, счетчики и так далее - менее этого размера, думаю это не есть хорошо, хотя и не критично.
>emulate_httpd_log on
зачем тебе это ? у тебя анализатор лога требует такой формат ?

>acl all src 0.0.0.0/0.0.0.0
>acl manager proto cache_object
>acl localhost src 127.0.0.1/255.255.255.255
>acl to_localhost dst 127.0.0.0/8
>acl SSL_ports port 443 563
>acl Safe_ports port 80  # http
># acl Safe_ports port 21  # ftp
>acl Safe_ports port 443 563 # https, snews
>acl Safe_ports port 70  # gopher
>acl Safe_ports port 210  # wais
># acl Safe_ports port 1025-65535 # unregistered ports 1025-65535
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
почему заремил ?   эти порты желательно пихать в сэйф порты, иначе некоторые программы не смогут создавать нужные им сокеты  !
>#For liubiteli miltimedii
>acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.rm$
>delay_pools 1
>delay_class 1 1
>delay_access 1 allow multimedia
>delay_access 1 deny all
>delay_parameters 1 1000/1000
в пул пихаешь тока закачку музона, но все другие форматы например zip, rar
которые могут иметь приличные размеры не делэишь, значит их будут тянуть со скоростью прокси !  я бы советовал настроить delay на всё ! то есть добавить сюда еще один пул и аксель юзеров и настроить скорости
примерно так:
delay_pools 2
delay_class 1 1
delay_class 2 2
delay_access 1 allow muzika
delay_access 1 deny all
delay_access 2 allow intranet
delay_access 2 deny all
delay_parameters 1 1000/1000
delay_parameters 2 -1/-1 8000/64000
на firewall желательно закрыть снаружи все порты 1-1023 ! остальное по-твоему усмотрению
в целом твой конфиг сквида нормальный, почему жрет 100% цпу непонятно,
попробуй обновить сквид под последний STABLE
,хотя с DELAY POOL бывает такое изредка, даже на келеронах жрет под 100%
иногда. еЩЕ совет -оставь часть канала под другие сервисы, сквиду оставить 70-80 %, остальное отдать pop, smtp и др.  Кстати замечал, что пул класса 1 у меня не работал ! Пришлось применить пул класса 2! Проверял скачкой со своего FTP - дул в полную дудку - проверь сам у себя  - пашет ли у тебя пул класса 1 !  Для любителей сети Kazzaa закрой порт 1214

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "squid грузит 97% процессора"

Сообщение от lithium on 17-Ноя-03, 13:40  (MSK)

1. глянь через hdparm режимы DMA для своего диска.
2. Используй afs или diskd
3. проверь существование (и права на) /dev/null и /dev/zero
4. проверь расход памяти и подправь в конфиге, если что.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "squid грузит 97% процессора"
Сообщение от ipmanyak on 10-Ноя-03, 07:56 (MSK)
показывай конфиг сквида, только без лишних комментариев плыз
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "squid грузит 97% процессора"
	Сообщение от Vlad_I on 10-Ноя-03, 13:31 (MSK)
	>показывай конфиг сквида, только без лишних комментариев плыз Если совсем без... http_port 3128 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY maximum_object_size 32096 KB cache_dir ufs /usr/local/squid/var/cache 500 16 256 emulate_httpd_log on auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http # acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais # acl Safe_ports port 1025-65535 # unregistered ports 1025-65535 acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT #MY_RULES: NO(porn; banners) acl bob src 192.168.1.5/32 #понять меня можно - это я acl Banners url_regex '/usr/local/squid/etc/ba' acl Porno url_regex '/usr/local/squid/etc/por' acl NoBanners url_regex '/usr/local/squid/etc/noba' http_access allow bob http_access allow NoBanners http_access deny Banners http_access deny Porno http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports acl our_networks src 192.168.1.0/24 192.168.2.0/24 http_access allow our_networks http_access deny all http_reply_access allow all icp_access allow all httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on #For liubiteli miltimedii acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.rm$ delay_pools 1 delay_class 1 1 delay_access 1 allow multimedia delay_access 1 deny all delay_parameters 1 1000/1000 Ну и, на всякий случай, правила маскарадинга: #!/bin/sh all="0.0.0.0/0" ipchains -F ipchains -X ipchains -A input -i lo -j ACCEPT ipchains -A output -i lo -j ACCEPT ipchains -P forward ACCEPT ipchains -M -S 7200 10 60 ipchains -N vhod ipchains -A input -i eth0 -j vhod ipchains -A vhod -s 192.168.0.0/255.255.0.0 -j DENY -l ipchains -A forward -s 192.168.1.0/24 -p ICMP -j MASQ # Transparent proxy ipchains -A input -p tcp -d 192.168.1.1/32 www -j ACCEPT ipchains -A input -p tcp -d 0/0 www -j REDIRECT 3128 ipchains -N res ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 domain -j MASQ ipchains -A res -p udp -s 192.168.1.0/24 -d 0.0.0.0/0 domain -j MASQ ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 smtp -j MASQ ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 nntp -j MASQ ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 pop3 -j MASQ ipchains -A res -p tcp -s 192.168.1.0/24 -d 0.0.0.0/0 5190 -j MASQ ipchains -A res -s 192.168.1.0/24 -d 0.0.0.0/0 -j DENY -l ipchains -A forward -s 192.168.1.0/24 -j res
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "squid грузит 97% процессора"
	Сообщение от ipmanyak on 10-Ноя-03, 15:43 (MSK)
	пара советов : >http_port 3128 лучше указать слушать на локальном интерфейсе например так: http_port 192.168.1.1:3128 тогда в логах больше не увидишь тычков санружи на твой прокси и ответ для них - deny >maximum_object_size 32096 KB я бы оставил по умолчанию - 0 ! ты не сохраняешьв кэше объекты менее этого размера, а гифы, счетчики и так далее - менее этого размера, думаю это не есть хорошо, хотя и не критично. >emulate_httpd_log on зачем тебе это ? у тебя анализатор лога требует такой формат ? >acl all src 0.0.0.0/0.0.0.0 >acl manager proto cache_object >acl localhost src 127.0.0.1/255.255.255.255 >acl to_localhost dst 127.0.0.0/8 >acl SSL_ports port 443 563 >acl Safe_ports port 80 # http ># acl Safe_ports port 21 # ftp >acl Safe_ports port 443 563 # https, snews >acl Safe_ports port 70 # gopher >acl Safe_ports port 210 # wais ># acl Safe_ports port 1025-65535 # unregistered ports 1025-65535 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ почему заремил ? эти порты желательно пихать в сэйф порты, иначе некоторые программы не смогут создавать нужные им сокеты ! >#For liubiteli miltimedii >acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$ \.rm$ >delay_pools 1 >delay_class 1 1 >delay_access 1 allow multimedia >delay_access 1 deny all >delay_parameters 1 1000/1000 в пул пихаешь тока закачку музона, но все другие форматы например zip, rar которые могут иметь приличные размеры не делэишь, значит их будут тянуть со скоростью прокси ! я бы советовал настроить delay на всё ! то есть добавить сюда еще один пул и аксель юзеров и настроить скорости примерно так: delay_pools 2 delay_class 1 1 delay_class 2 2 delay_access 1 allow muzika delay_access 1 deny all delay_access 2 allow intranet delay_access 2 deny all delay_parameters 1 1000/1000 delay_parameters 2 -1/-1 8000/64000 на firewall желательно закрыть снаружи все порты 1-1023 ! остальное по-твоему усмотрению в целом твой конфиг сквида нормальный, почему жрет 100% цпу непонятно, попробуй обновить сквид под последний STABLE ,хотя с DELAY POOL бывает такое изредка, даже на келеронах жрет под 100% иногда. еЩЕ совет -оставь часть канала под другие сервисы, сквиду оставить 70-80 %, остальное отдать pop, smtp и др. Кстати замечал, что пул класса 1 у меня не работал ! Пришлось применить пул класса 2! Проверял скачкой со своего FTP - дул в полную дудку - проверь сам у себя - пашет ли у тебя пул класса 1 ! Для любителей сети Kazzaa закрой порт 1214
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "squid грузит 97% процессора"
Сообщение от lithium on 17-Ноя-03, 13:40 (MSK)
1. глянь через hdparm режимы DMA для своего диска. 2. Используй afs или diskd 3. проверь существование (и права на) /dev/null и /dev/zero 4. проверь расход памяти и подправь в конфиге, если что.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх