Tráfego avassalador de llnw.com e msecn.net através do squid

Eu estava definindo o "range_offset_limit" no squid.conf para -1, de modo que, se qualquer parte de uma atualização do Windows fosse solicitada, o arquivo inteiro seria baixado. Amos Jeffries, da lista de usuários do squid, me alertou que isso poderia ser um tiro pela culatra se um cliente pedisse apenas um pequeno pedaço de um arquivo grande (como um vídeo) hospedado em um desses CDN's; o squid seria forçado a baixar o arquivo inteiro, mesmo que o cliente parasse de escutar.

A remoção dessa configuração corrige o problema. Obrigado ao audiophilth e ao James Sneeringer por me colocar no caminho certo.

llnw.net é apenas uma fonte de CDN, não tenho certeza do que você quer dizer com conexões "falsas".

Ele não está bloqueando as conexões porque seu proxy de armazenamento em cache está iniciando-as e você não tem regras OUTPUT , e a política OUTPUT padrão é ACCEPT . Eu diria que quase todo o seu tráfego de saída na porta 80 se comporta da mesma maneira. Observe como na sua saída, o seu proxy também tem conexões diretas para o google.com e o acast.com?

Além disso, o llnw.net e o msecn.net não são falsos. O MSECN é o Microsoft Edge Caching Network e o LLNW é o Limelight Networks, ambos são redes de distribuição de conteúdo semelhantes à Akamai. Eu acho que você está vendo isso porque seus usuários estão acessando sites que assinam seus serviços. Você geralmente não quer bloqueá-los, senão você vai quebrar muitos sites de alto perfil, se não torná-los completamente inacessíveis para seus usuários.