Медленное открытие сайтов через Squid (Обратный резолв)

0

1

Есть Squid 3.5.12 (хотя вроде на всех версиях подобное) с включенным '--enable-ssl' '--enable-ssl-crtd' '--with-openssl'. И все работает вроде без проблем, но вот открытие некоторых сайтов бывает очень долгим. После поисков нашел проблему. Заключается она в том, что во время TLS рукопожатия сквид делает revers dns запрос. Ждет, и не дождавшись после таймаута продолжает дальше загружать страницу. В конфиге указал dns_nameservers 127.0.0.1. В качестве dns сервера стоит bind. Как можно отключить обратный dns запрос в кальмаре? Либо уменьшить таймаут в бинде. Сейчас если у адреса нет обратного адреса, то bind тратит на такие запросы по 10 секунд. Соответственно ответа от бинда ждет и кальмар.

Пробовал добавить в конфиг кальмара dns_timeout 1 second. Не помогает.

Ссылка

←	Proftpd + openldap = timestamp in names on windows explorer

Проблема с маршрутом proxmox+opensense+openvpn server

→

https://serverfault.com/questions/867380/squid-configured-for-ssl-chokes-on-some-sites

В гугле забененный что ли?

anonymous
(30.09.20 18:07:13 MSK)

Ответ на: комментарий от anonymous 30.09.20 18:07:13 MSK

либо обновись, либо бекпортируй, либо плати и тебе сделают - выбирай.

anonymous
(30.09.20 18:07:57 MSK)

Ссылка

Ответ на: комментарий от anonymous 30.09.20 18:07:13 MSK

Что-то не понял какая связь. Там человек генерирует и подсовывает серт. Я вообще не собираюсь ничего подсовывать. Мне нужно лишь заглядывать в SNI. И все работает за исключением тормозов на некоторых сайтах. Причем тормоза только при первом посещении. Потом с сайтом проблем нет.

as_lan ★★
(30.09.20 18:14:28 MSK) автор топика

Ссылка

http://lists.squid-cache.org/pipermail/squid-users/2016-February/009115.html

Попробуй.
Так а резолв ЧЕГО делает тебя страдать?

Bers666 ★★★★★
(30.09.20 19:30:07 MSK)

Ответ на: комментарий от Bers666 30.09.20 19:30:07 MSK

Все сайты не вспомню, но чаще всего жалуются на сберовские сайты (сбербанк онлайн в частности). Видно, что сквид делает PTR запрос. 131.14.54.194.in-addr.arpa. И пока по таймауту не будет получен SERVFAIL, страница не начинает загружаться.

По ссылке перешел. К сожалению добавление

url_rewrite_extras "%>a %un %>rm myip=%la myport=%lp"
store_id_extras "%>a %un %>rm myip=%la myport=%lp"

не решает проблему.

as_lan ★★
(30.09.20 20:10:49 MSK) автор топика

Ответ на: комментарий от as_lan 30.09.20 20:10:49 MSK

ага, значит речь о резолве IP сайтов ( решение выше для отключения резолва IP юзеров.)

А зачем squid делает резолв IP шников сайтов?? У тебя какие-то хитрые ACL? Юзеры посылают в сквид hostname:port или ip:port ?

Bers666 ★★★★★
(30.09.20 20:17:08 MSK)

Ответ на: комментарий от Bers666 30.09.20 20:17:08 MSK

Зачем сквид так делает не знаю. Ничего необычного в конфиге нет. Только черный список (ради него и добавлялось). Такое только с https вроде как

as_lan ★★
(30.09.20 20:50:34 MSK) автор топика

Ссылка

Как костыль решил добавлением

dns_retransmit_interval 0.1 second

PTR запросы конечно все равно отправляет, но выставим маленькое значение не приходиться ждать.

as_lan ★★
(30.09.20 22:59:15 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Proftpd + openldap = timestamp in names on windows explorer

Admin

Проблема с маршрутом proxmox+opensense+openvpn server

→

Похожие темы