squid и метод CONNECT

[Bormental]

в общем стоит squid3.0 stable12 при использовании метода connect по стандартному порту сквида 443 начинает грузить проц под завязку, если начинаешь качать что-либо по протоколу https, в чем проблема может быть?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[InventoR]

Не на столько силен в это деле, но:
1. Какой канал, с какой скоростью качает?
2. Что за железо на сервере?
3. Сколько рамы стоит?
4. Какие настройки кэша на сервере?
Какая загрузка при прокачке через стандартный порт?
5. Что в логе: /usr/local/squid/logs/cache.log

[Bormental]

Не на столько силен в это деле, но:
1. Какой канал, с какой скоростью качает?
2. Что за железо на сервере?
3. Сколько рамы стоит?
4. Какие настройки кэша на сервере?
Какая загрузка при прокачке через стандартный порт?
5. Что в логе: /usr/local/squid/logs/cache.log

1 два канала один 64/256 кбпс другой гдето 200кбпс только входящий
2 стоит core2duo 2.4GGz
3 ddr2 800MHZ 4GB
4 cache_dir ufs /usr/local/squid/cache 51200 140 256
при обычных GET POST загрузка проца 0.5-0.9%
5 в логах ничего необычного, кроме иногда встречающихся не поддерживаемых методов но ложиться именно при закачкахс https сам проверял закачивая и смотря по top
винт саташный 160GB 20% занято

[Bormental]

щас все конекты убрал оставил только на ICQ с ней трабл нет по этому методу

[InventoR]

прикольно.
сейчас как раз сервак переустановил дома, и сквиду последнею накатил, ближе к вечеру сделаю тестирование.

[Bormental]

обновил до стабле 13 тоже самое.... кстати сквид скомпилен с поддержкой пулов...

а это для полноты картины
Squid Cache: Version 3.0.STABLE13
configure options: '--prefix=/usr/local/squid' '--enable-delay-pools' '--enable-kill-parent-hack' '--enable-removal-policies=lru,heap' '--enable-snmp' '--enable-arp-acl' '--enable-htcp' '--enable-default-err-language=Russian-1251' '--enable-x-accelerator-vary' '--enable-stacktraces' '--enable-poll' '--enable-auth=basic' '--enable-external-acl-helpers='

[Bormental]

Попробовал закрыть закачки а оставить по https только html но он не режет стандартными методами через rep_mime_type или rep_header пропускает все

Код: Выделить всё

acl SSL_ports 443
acl HTML rep_mime_type Content-Type -i ^text/*
http_access allow CONNECT SSL_ports
http_access deny CONNECT
.
.
.
http_reply_access deny CONNECT SSL_ports !HTML
http_reply_access allow all

[Bormental]

вот ссылка для тестирования))
http://game.amd.com/us-en/drivers_catal ... radeonx-xp
файлы выложены по https, начинаешь качать прокся ложиться, перестаешь все нормально загрузка падает

[Bormental]

ну и squid.conf

Код: Выделить всё

http_port 192.168.255.2:8668

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 512 MB

cache_swap_low  90
cache_swap_high 95
maximum_object_size 0 KB
minimum_object_size 0 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 95

fqdncache_size 1024

cache_replacement_policy heap GDSF

memory_replacement_policy heap GDSF

read_timeout 5 minutes

request_timeout 32 seconds

half_closed_clients off

balance_on_multiple_ip on

request_body_max_size 5 MB

extension_methods HTTP/1.0 SEARCH PROPFIND PROPPATCH MKCOL MOVE BMOVE DELETE BDELETE SUBSCRIBE POLL OPTIONS

cache_dir ufs /usr/local/squid/cache 51200 140 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
mime_table /usr/local/squid/etc/mime.conf
log_mime_hdrs off
pid_filename /usr/local/squid/logs/squid.pid
icon_directory /usr/local/squid/share/icons

logfile_rotate 10

#FTP WAIS
ftp_user anonymous@mail.ru

ftp_list_width 32

ftp_passive on

ftp_sanitycheck on

ftp_telnet_protocol on

#DNS
dns_nameservers 127.0.0.1

auth_param basic program /usr/local/squid/sbin/auth.perl
auth_param basic children 10

authenticate_ttl 3600 second

authenticate_ip_ttl 0
auth_param basic realm PROXY server BASTION
auth_param basic credentialsttl 3600 seconds
auth_param basic casesensitive on
acl AUTOR proxy_auth REQUIRED

refresh_pattern ^ftp:           10080   20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

acl HTML rep_mime_type Content-Type -i text/*

acl DNL urlpath_regex -i "/usr/local/squid/etc/dnl.list"

#url_regex
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl ya dst 192.168.255.2
acl SSL_ports port 443 563 5190
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

acl our_networks src 192.168.0.0/16
acl to_our_networks dst 192.168.0.0/16

acl to_all dst all
acl CONN5 maxconn 8
acl PURGE method purge

external_acl_type CONTRA children=10 ttl=0 %LOGIN %SRC %DST /usr/local/squid/sbin/dinip.perl
external_acl_type ACLIP children=10 ttl=0 %SRC %DST /usr/local/squid/sbin/blatip.perl
external_acl_type BAN children=10 ttl=0 %LOGIN %DST %PATH /usr/local/squid/sbin/banner.perl

acl BLATIP external ACLIP
acl NCONTRA external CONTRA
acl BBANER external BAN

tcp_outgoing_address moi_ip !DNL

#no_cache deny nocachesite
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT CONN5
http_access allow CONNECT SSL_ports our_networks
http_access deny CONNECT

delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2

delay_access 3 allow to_all

delay_access 1 allow our_networks DNL

delay_access 2 allow our_networks !DNL
delay_access 1 deny all
delay_access 2 deny all
delay_access 3 deny all

delay_parameters 1 -1/-1 12000/80000
delay_parameters 2 -1/-1 8000/80000
delay_parameters 3 -1/-1 4000/10000

http_access allow ya
http_access deny to_our_networks
#http_access deny CONN5
http_access deny our_networks BBANER
http_access allow our_networks BLATIP
http_access allow our_networks AUTOR NCONTRA
http_access deny all

http_reply_access allow all

icp_access deny all

visible_hostname INTERNET
forwarded_for on
header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit)
error_directory /usr/local/squid/share/errors/Russian-1251
maximum_single_addr_tries 3
deny_info http://192.168.255.2/nobanners/index.prl BBANER