CentOS6で構築したプロキシサーバのリプレイスとして、pfSenseでプロキシサーバを構築したが
webサイトへのアクセスがなんか遅い。。。。
pfSenseのせいかと思い、CentOS7で作り直すも状況は変わらず
tcpdumpにてパケットの状況を確認すると名前解決に時間がかかっている??
構成
外部DNSサーバ----FW(ISG)----PROXYサーバ
PROXYサーバの名前解決先はFWで分断された別ネットワークに設置されたDNSサーバ
FWで下記を開示済み
Src:PROXYサーバのIP
Dst:外部DNSサーバ
Service:DNS
原因
FWのログを確認すると、戻りパケットを破棄していた。。。
下記事象に合致している模様
[ScreenOS] DNS reply packet is dropped through the firewall. How is DNS traffic handled?
リンク
下記ポリシーを追加で戻り通信も通るようになり、PROXY遅い問題は解決
Src:外部DNSサーバ
Dst:PROXYサーバのIP
Service:Any
IP絞っているし、とりあえずいいでしょう
CentOS6のSQUIDでは問題なく、CentOS7およびpfSense2.4.5 では発生する
SQUIDバージョンの問題か??
おそらくSQUIDのバージョンが上がったために名前解決の動作になにか変更があったのであろう
やる気があれば今度調べてみる