
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        font-size:10.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

</head>

<body lang="EN-US" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="WordSection1">

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">Hello </span><span style="font-size:11.0pt;color:#070706;background:#FFEE94">Amos</span><span style="font-size:11.0pt;color:black"> ,</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">Config file is based on IP auth and user/pass auth .</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">But I want to minimize the CPU hit of my config file as much as possible .</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">Version : Squid 5.3 <br>

<br>

###############################################################################################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"><br>

squid.conf</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl RDP-Domain-controller src 77.90.230.0/24 77.90.228.0/24 77.90.225.0/24 77.90.210.0/24 77.90.193.0/24 77.90.145.0/24 77.90.112.0/24 88.21.95.0/24 88.21.94.0/24 88.21.76.0/24 88.21.75.0/24 88.21.72.0/24

 88.21.36.0/24 88.21.34.0/24 88.21.199.0/24 88.21.193.0/24 88.21.192.0/24 88.21.137.0/24 88.21.135.0/24 88.21.132.0/24 88.21.131.0/24 88.21.129.0/24 88.21.128.0/24 88.21.126.0/24 88.21.121.0/24 88.21.120.0/24 88.108.9.0/24 88.108.45.0/24 </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_access allow RDP-Domain-controller</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl googleaccess dstdomain .google.com .google.ad .google.ae .google.com.af .google.com.ag .google.com.ai .google.al .google.am .google.co.ao .google.com.ar .google.as .google.at .google.com.au

 .google.az .google.ba .google.com.bd .google.be .google.bf .google.bg .google.com.bh .google.bi .google.bj .google.com.bn .google.com.bo .google.com.br .google.bs .google.bt .google.co.bw .google.by .google.com.bz .google.ca .google.cd .google.cf .google.cg

 .google.ch .google.ci .google.co.ck .google.cl .google.cm .google.cn .google.com.co .google.co.cr .google.com.cu .google.cv .google.com.cy .google.cz .google.de .google.dj .google.dk .google.dm .google.com.do .google.dz </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl FTP proto FTP</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_access deny FTP</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_access deny manager</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">#################################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl URN proto URN</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_access deny URN</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">###########################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">#############################################################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">visible_hostname squid</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">###################################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"># Lockdown Procedures</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">auth_param basic program /lib/squid/basic_ncsa_auth /etc/squid/squid_user</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl ncsa_users proxy_auth REQUIRED</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">auth_param basic children 50</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">auth_param basic realm login squid Login</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_access deny ncsa_users googleaccess </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_access allow ncsa_users</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">auth_param basic casesensitive on</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">#########################################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">cache_effective_user squid</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">cache_effective_group squid</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">##############</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">server_persistent_connections off</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">client_persistent_connections off</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">cache deny all</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">###############################################</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_port  66.4.223.238:45000 name=45000</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_port  66.4.223.238:45001 name=45001</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_port  66.4.223.238:45002 name=45002</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">http_port  66.4.223.238:45003 name=45003</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">#########</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl user45000 myportname 45000</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl user45001 myportname 45001</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl user45002 myportname 45002</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">acl user45003 myportname 45003</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">#############</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">tcp_outgoing_address 2a0f:3fc6:f1f1:459e:ba16:10cc:3d9f:6d8f user45000</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">tcp_outgoing_address 2a0f:3fc6:f1f1:459e:ca27:f465:986e:6dfc user45001</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">tcp_outgoing_address 2a0f:3fc6:f1f1:459e:27de:fec7:49fc:3113 user45002</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">tcp_outgoing_address 2a0f:3fc6:f1f1:459e:698a:d044:d39e:ffe7 user45003</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black">tcp_outgoing_address 2a0f:3fc6:f1f1:459e:bc96:9e75:6653:76ac user45004</span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;color:black"> </span><span style="color:black"><o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:

</span></b><span style="font-size:12.0pt;color:black">squid-users <squid-users-bounces@lists.squid-cache.org> on behalf of Amos Jeffries <squid3@treenet.co.nz><br>

<b>Date: </b>Friday, April 1, 2022 at 1:51 AM<br>

<b>To: </b>squid-users@lists.squid-cache.org <squid-users@lists.squid-cache.org><br>

<b>Subject: </b>Re: [squid-users] Squid 3-5 CPU optimization and best practise .<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt">FYI; CPU in Squid is primarily consumed by two things:<br>

<br>

<br>

1) parsing and processing HTTP message headers.<br>

<br>

The only thing you can do about this is detect and reject unwanted <br>

traffic as early as possible.<br>

<br>

Your OS firewall is obviously the early line of defense. Preventing <br>

unwanted network ranges from reaching Squid listening ports saves Squid <br>

from spending CPU cycles looking up details about those unwanted clients.<br>

<br>

Then for clients who are potentially valid the default http_access rules <br>

reject dangerous traffic quickly and efficiently. Make sure any custom <br>

http_access rules are listed *after* those ones. Then see (2).<br>

<br>

<br>

<br>

2) processing access controls (ACL checks).<br>

<br>

To optimize this needs attention to what order ACLs are tested in versus <br>

how complex they are to process.<br>

<br>

How many CPU cycles are consumed managing any resources they or other <br>

processes they trigger is also important.<br>

<br>

If you want a free optimization review please post your full squid.conf <br>

(just without the documentation comments and empty lines). Then we can <br>

point out any performance tricks you may not yet be using.<br>

<br>

<br>

<br>

<br>

Beyond those two you are getting into "advanced admin" levels of <br>

performance optimization. Where YMMV, Alex has mentioned. Every network <br>

is different so none of us can say a specific thing to do that will be <br>

better for you.<br>

<br>

HTH<br>

Amos<br>

_______________________________________________<br>

squid-users mailing list<br>

squid-users@lists.squid-cache.org<br>

</span><a href="http://lists.squid-cache.org/listinfo/squid-users"><span style="font-size:11.0pt">http://lists.squid-cache.org/listinfo/squid-users</span></a><span style="font-size:11.0pt"><o:p></o:p></span></p>

</div>

</div>

</body>

</html>