LINUX.ORG.RU
решено ФорумAdmin

Медленное открытие сайтов через Squid (Обратный резолв)

 , ,


0

1

Есть Squid 3.5.12 (хотя вроде на всех версиях подобное) с включенным '--enable-ssl' '--enable-ssl-crtd' '--with-openssl'. И все работает вроде без проблем, но вот открытие некоторых сайтов бывает очень долгим. После поисков нашел проблему. Заключается она в том, что во время TLS рукопожатия сквид делает revers dns запрос. Ждет, и не дождавшись после таймаута продолжает дальше загружать страницу. В конфиге указал dns_nameservers 127.0.0.1. В качестве dns сервера стоит bind. Как можно отключить обратный dns запрос в кальмаре? Либо уменьшить таймаут в бинде. Сейчас если у адреса нет обратного адреса, то bind тратит на такие запросы по 10 секунд. Соответственно ответа от бинда ждет и кальмар.

Пробовал добавить в конфиг кальмара dns_timeout 1 second. Не помогает.

★★

Последнее исправление: as_lan (всего исправлений: 1)
Ответ на: комментарий от anonymous

либо обновись, либо бекпортируй, либо плати и тебе сделают - выбирай.

anonymous
()
Ответ на: комментарий от anonymous

Что-то не понял какая связь. Там человек генерирует и подсовывает серт. Я вообще не собираюсь ничего подсовывать. Мне нужно лишь заглядывать в SNI. И все работает за исключением тормозов на некоторых сайтах. Причем тормоза только при первом посещении. Потом с сайтом проблем нет.

as_lan ★★
() автор топика
Ответ на: комментарий от Bers666

Все сайты не вспомню, но чаще всего жалуются на сберовские сайты (сбербанк онлайн в частности). Видно, что сквид делает PTR запрос. 131.14.54.194.in-addr.arpa. И пока по таймауту не будет получен SERVFAIL, страница не начинает загружаться.

По ссылке перешел. К сожалению добавление

url_rewrite_extras "%>a %un %>rm myip=%la myport=%lp"
store_id_extras "%>a %un %>rm myip=%la myport=%lp"   

не решает проблему.

as_lan ★★
() автор топика
Ответ на: комментарий от as_lan

ага, значит речь о резолве IP сайтов ( решение выше для отключения резолва IP юзеров.)

А зачем squid делает резолв IP шников сайтов?? У тебя какие-то хитрые ACL? Юзеры посылают в сквид hostname:port или ip:port ?

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Зачем сквид так делает не знаю. Ничего необычного в конфиге нет. Только черный список (ради него и добавлялось). Такое только с https вроде как

as_lan ★★
() автор топика

Как костыль решил добавлением

dns_retransmit_interval 0.1 second

PTR запросы конечно все равно отправляет, но выставим маленькое значение не приходиться ждать.

as_lan ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.