Squid com antenticação - dificuldade com permissões a grupos e dúvidas com Cache

galoleite
(usa Ubuntu)

Enviado em 24/08/2016 - 16:51h

Boa tarde amigos.
Tive que assumir uma responsabilidade de ultima hora aqui onde trabalho, o colega que estava trabalhando na implantação do servidor proxy autenticado recebeu uma proposta e vazou...
Não tenho muito conhecimento em linux, tenho estudado muito, pesquisado muito e estou fazendo um curso de formação para aprimorar o conhecimento, porém o projeto de implantação do proxy autenticado é super urgente e tenho que me virar nos trinta. Conto com a boa vontade de sempre da comunidade.

Cenário atual: Consegui instalar o squid3, ele esta autenticando, as regras no Iptables estão ok, só navega autenticados porem não consigo fazer as distinções de acessos aos dois grupos que devo ter aqui no meu ambiente, grupo "liberados" (com acesso total) e grupo "intermediarios" (com algumas restrições de conteúdo e futuramente de banda tb).
No momento, todos autenticados acessam tudo, inclusive os sites da lista de "sites_proibidos".
Seguindo alguns artigos e estudos, criei um único repositorio para armazenar os usuários e senhas e depois criei arquivos dos dois grupos onde adicionei devidamente casa usuario (de forma simples, um por linha) de acordo com suas permissões, mas não esta funcionando...
Segue abaixo meu squid.conf para melhor entendimento:

# Porta Squid
http_port 3128

# Nome visível do servidor
visible_hostname Proxy

# Autenticação dos usuários
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/squid_usuarios

auth_param basic children 10

# Mensagem que aparecerá na janela de autenticação
auth_param basic realm Servidor Proxy

acl autenticados proxy_auth REQUIRED

# GRUPOS #
# Liberados - acesso total
acl liberados proxy_auth "/etc/squid3/grupos/liberados"

# Intermediarios - com certas permissões
acl intermediarios proxy_auth "/etc/squid3/grupos/intermediarios"

# Arquivos com bloqueios #
#Sites proibidos
acl sites_proibidos dstdomain "/etc/squid3/acls/sites_proibidos"

acl localhost src
acl rede_interna src 10.1.1.0/24

# Acls padrões do SQUID (Aqui ele faz liberações de algumas portas)
acl SSL_ports port 443
acl SSL_ports port 2095
acl SSL_ports port 2082
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 445
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow liberados
http_access allow intermediarios !sites_proibidos
http_access deny sites_proibidos

http_access allow localhost
http_access allow autenticados
http_access allow rede_interna
http_access deny all
http_access allow purge localhost
http_access deny purge

icp_access deny all
htcp_access deny all

hierarchy_stoplist cgi-bin \?

cache_replacement_policy lru
memory_replacement_policy lru

# Arquivo de log
access_log /var/log/squid3/access.log squid

# Arquivo de cache
cache_log /var/log/squid3/cache.log

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#Cache da memória#
#cache_mem 1024 MB
#cache_swap_low 90
#cache_swap_high 95

#Cache HD
#cache_dir ufs /var/spool/squid 4096 16 256
#maximum_object_size 512 MB
#minimum_object_size 0 KB


icp_port 3130

error_directory /usr/share/squid3/errors/Portuguese

coredump_dir /var/spool/squid3

########################################## Fim do squid.conf ############################################


Abaixo, seguem os logs do /var/log/squid3/cache.log, caso seja necessário para identificar alguma falha que eu tenha cometido na configuração até aqui:

############################### Logs Squid - /var/log/squid3/cache.log ##########################################
2016/08/24 10:28:51| Squid is already running! Process ID 2870
2016/08/24 10:29:49| Preparing for shutdown after 152 requests
2016/08/24 10:29:49| Waiting 0 seconds for active connections to finish
2016/08/24 10:29:49| Closing HTTP port [::]:3128
2016/08/24 10:29:49| Stop receiving ICP on [::]:3130
2016/08/24 10:29:49| Closing Pinger socket on FD 11
2016/08/24 10:29:49| Shutdown: NTLM authentication.
2016/08/24 10:29:49| Shutdown: Negotiate authentication.
2016/08/24 10:29:49| Shutdown: Digest authentication.
2016/08/24 10:29:49| Shutdown: Basic authentication.
2016/08/24 10:29:51| Shutting down...
2016/08/24 10:29:51| Stop sending ICP from [::]:3130
2016/08/24 10:29:51| storeDirWriteCleanLogs: Starting...
2016/08/24 10:29:51| Finished. Wrote 0 entries.
2016/08/24 10:29:51| Took 0.00 seconds ( 0.00 entries/sec).
CPU Usage: 0.368 seconds = 0.164 user + 0.204 sys
Maximum Resident Size: 120800 KB
Page faults with physical i/o: 1
Memory usage for squid via mallinfo():
total space in arena: 14584 KB
Ordinary blocks: 5290 KB 651 blks
Small blocks: 0 KB 1 blks
Holding blocks: 27420 KB 8 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 9293 KB
Total in use: 32710 KB 224%
Total free: 9293 KB 64%
2016/08/24 10:29:51| Logfile: closing log stdio:/var/log/squid3/access.log
2016/08/24 10:29:51| Open FD UNSTARTED 5 DNS Socket IPv6
2016/08/24 10:29:51| Open FD READ/WRITE 6 DNS Socket IPv4
2016/08/24 10:29:51| Open FD UNSTARTED 9 Incoming ICP port
2016/08/24 10:29:51| Open FD READ/WRITE 10 Reading next request
2016/08/24 10:29:51| Open FD READ/WRITE 12 basic_ncsa_auth #1
2016/08/24 10:29:51| Open FD READ/WRITE 13 ad.doubleclick.net:443
2016/08/24 10:29:51| Squid Cache (Version 3.3.8): Exiting normally.
2016/08/24 10:29:52| Pinger exiting.
2016/08/24 10:29:57| Starting Squid Cache version 3.3.8 for i686-pc-linux-gnu...
2016/08/24 10:29:57| Process ID 2948
2016/08/24 10:29:57| Process Roles: master worker
2016/08/24 10:29:57| With 65536 file descriptors available
2016/08/24 10:29:57| Initializing IP Cache...
2016/08/24 10:29:57| DNS Socket created at [::], FD 5
2016/08/24 10:29:57| DNS Socket created at 0.0.0.0, FD 6
2016/08/24 10:29:57| Adding nameserver 192.168.1.1 from /etc/resolv.conf
2016/08/24 10:29:57| helperOpenServers: Starting 0/10 'basic_ncsa_auth' processes
2016/08/24 10:29:57| helperOpenServers: No 'basic_ncsa_auth' processes needed.
2016/08/24 10:29:57| Logfile: opening log /var/log/squid3/access.log
2016/08/24 10:29:57| WARNING: log parameters now start with a module name. Use 'stdio:/var/log/squid3/access.log'
2016/08/24 10:29:57| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2016/08/24 10:29:57| Store logging disabled
2016/08/24 10:29:57| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2016/08/24 10:29:57| Target number of buckets: 1008
2016/08/24 10:29:57| Using 8192 Store buckets
2016/08/24 10:29:57| Max Mem size: 262144 KB
2016/08/24 10:29:57| Max Swap size: 0 KB
2016/08/24 10:29:57| Using Least Load store dir selection
2016/08/24 10:29:57| Set Current Directory to /var/spool/squid3
2016/08/24 10:29:57| Loaded Icons.
2016/08/24 10:29:57| HTCP Disabled.
2016/08/24 10:29:57| Pinger socket opened on FD 11
2016/08/24 10:29:57| Squid plugin modules loaded: 0
2016/08/24 10:29:57| Adaptation support is off.
2016/08/24 10:29:57| Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 8 flags=9
2016/08/24 10:29:57| Accepting ICP messages on [::]:3130
2016/08/24 10:29:57| Sending ICP messages from [::]:3130
2016/08/24 10:29:57| pinger: Initialising ICMP pinger ...
2016/08/24 10:29:57| pinger: ICMP socket opened.
2016/08/24 10:29:57| pinger: ICMPv6 socket opened
2016/08/24 10:29:58| storeLateRelease: released 0 objects
2016/08/24 11:09:57| Logfile: opening log stdio:/var/log/squid3/netdb.state
2016/08/24 11:09:57| Logfile: closing log stdio:/var/log/squid3/netdb.state
2016/08/24 11:09:57| NETDB state saved; 0 entries, 0 msec
2016/08/24 11:51:37| Logfile: opening log stdio:/var/log/squid3/netdb.state
2016/08/24 11:51:37| Logfile: closing log stdio:/var/log/squid3/netdb.state
2016/08/24 11:51:37| NETDB state saved; 0 entries, 0 msec
2016/08/24 12:51:06| Logfile: opening log stdio:/var/log/squid3/netdb.state
2016/08/24 12:51:06| Logfile: closing log stdio:/var/log/squid3/netdb.state
2016/08/24 12:51:06| NETDB state saved; 0 entries, 0 msec
2016/08/24 13:49:17| Logfile: opening log stdio:/var/log/squid3/netdb.state
2016/08/24 13:49:17| Logfile: closing log stdio:/var/log/squid3/netdb.state
2016/08/24 13:49:17| NETDB state saved; 0 entries, 0 msec
2016/08/24 15:02:32| Logfile: opening log stdio:/var/log/squid3/netdb.state
2016/08/24 15:02:32| Logfile: closing log stdio:/var/log/squid3/netdb.state
2016/08/24 15:02:32| NETDB state saved; 0 entries, 0 msec
2016/08/24 15:44:34| Logfile: opening log stdio:/var/log/squid3/netdb.state
2016/08/24 15:44:34| Logfile: closing log stdio:/var/log/squid3/netdb.state
2016/08/24 15:44:34| NETDB state saved; 0 entries, 0 msec
################################################# Fim dos logs #########################################


Aproveito para tirar dúvida sobre as declarações comentadas com respeito a cache. Deixei para um segundo momento, mas se julgarem que da pra ajudar por aqui mesmo, matamos toda a bronca numa paulada só!

Desde já, agradeço a atenção dos amigos e fico no aguardo. Meio ansioso... meio desesperado... :)
Abraços!

Obs: estou configurando o serviço no Ubuntu Server 14.04.5

Giovanni_Menezes
(usa Devuan)

Enviado em 25/08/2016 - 02:00h

Faz muito tempo que não trabalho com squid, já esqueci muita coisa mas ve se essa gambiarra funciona ai, onde esta assim :



deixe assim



Se der certo, depois procure ver porque a linha !sites_proibidos não funciona.
--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://goo.gl/mRzpg3

Buckminster
(usa Debian)

Enviado em 25/08/2016 - 10:24h

A "safra" do teu Squid é 3.3.8 (Version 3.3.8).

Vai lendo os links abaixo, enquanto dou uma olhada (com calma, sem pressa, na maciota) no teu squid.conf:

http://www.squid-cache.org/Versions/v3/3.3/cfgman/auth_param.html">http://www.squid-cache.org/Versions/v3/3.3/cfgman/auth_param.html

Geralmente, como está no 'manuel', a ordem certa é essa abaixo:

#auth_param basic program <uncomment and complete this line>
#auth_param basic children 5 startup=5 idle=1
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours

https://www.vivaolinux.com.br/artigo/SQUID-autenticado-Bloqueando-o-acesso-dos-usuarios-por-grupos?p...

http://www.squid-cache.org/Versions/v3/3.3/cfgman/

galoleite
(usa Ubuntu)

Enviado em 25/08/2016 - 13:09h

deixe assim



E ai Giovanni, blz? Cara, tentei e não deu, continua a mesma coisa. Mesmo assim, agradeço a atenção e tentativa, valeu!
Abraço!

galoleite
(usa Ubuntu)

Enviado em 25/08/2016 - 13:11h

E ai Buckminster, blz cara? Ok, vou me atracar nas leituras recomendadas agora a tarde. A peleia continua!
Abraço!

Buckminster
(usa Debian)

Enviado em 26/08/2016 - 15:13h

Tu criou os usuários com

htpasswd /etc/squid3/grupos/arquivos user

ou fez de alguma outra maneira?

galoleite
(usa Ubuntu)

Enviado em 29/08/2016 - 08:46h

Buenas Buckminster!
Cara, na verdade encontrei o problema aqui, rateada simples, eu é que estava adicionando de forma errada os domínios ao arquivo sites_proibidos, chupada de bala minha... Agora esta tudo ok, autenticando, bloqueando sites proibidos, essa parte esta ok.
Gostaria de contar com a ajuda do amigo para mais dois assuntos:

1) Interceptação SSL (Sem muita urgência na implantação mas caso o amigo já tenha alguma manha sobre o tema, fico agradecido. Tenho pesquisado e estudado sobre o assunto nos últimos dias e vi que não é "mol" de implantar o bicho...)

2) Cache (mem e dir)
Segue abaixo a parte do meu squid.conf com a parte que trata da cache:
############################################## Cache ############################################
hierarchy_stoplist cgi-bin \?

# Overwrite cache
memory_replacement_policy lru
cache_replacement_policy lru

#Cache memoria
cache_mem 1024 MB
maximum_object_size_in_memory 512 KB
#memory_replacement_policy lru


#Cache disco:
cache_dir ufs /var/spool/squid3 10240 16 256
maximum_object_size 512 MB
minimum_object_size 0 KB
#cache_replacement_policy lru

# limite minimo de ocupação do cache
cache_swap_low 90
# limite maximo de ocupação do cache
cache_swap_high 95

# Arquivo de log
access_log /var/log/squid3/access.log squid

# Arquivo de cache
cache_log /var/log/squid3/cache.log

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320

# Páginas de erro em português
#error_directory /usr/share/squid3/errors/Portuguese
########################################### FIM ###############################################

* Meu recurso disponível aqui para a instalação: servidor HP dedicado ao DHCP e Squid, processador Xeon 3065 - 2.33GHz, 4gb de RAM, HD de 250GB)



Buck, Fiz alguns testes sexta feira e vi que ele esta cacheando conteúdo mas não esta buscando na cache nas requisições:

1472241566.789 0 10.1.1.8 TCP_DENIED/407 3557 CONNECT edf.eset.com:443 - HIER_NONE/- text/html
1472241567.939 1145 10.1.1.8 TCP_MISS/200 3619 CONNECT edf.eset.com:443 michele HIER_DIRECT/137.135.12.16 -
1472241567.941 0 10.1.1.8 TCP_DENIED/407 3557 CONNECT edf.eset.com:443 - HIER_NONE/- text/html
1472241569.038 1094 10.1.1.8 TCP_MISS/200 3550 CONNECT edf.eset.com:443 michele HIER_DIRECT/137.135.12.16 -
1472241740.280 170 10.1.1.8 TCP_MISS/200 4207 CONNECT pagead2.googlesyndication.com:443 aleite HIER_DIRECT/216.58.222.2 -
1472241746.245 326240 10.1.1.8 TCP_MISS/200 4202 CONNECT bn4sch101120917.wns.windows.com:443 michele HIER_DIRECT/131.253.34.248 -
1472241746.259 326255 10.1.1.8 TCP_MISS/200 4202 CONNECT bn4sch101121505.wns.windows.com:443 michele HIER_DIRECT/65.52.108.232 -



Ele tb acusou erros no acesso ao windows uptade:
1472240867.342 0 10.1.1.8 TCP_DENIED/407 401 HEAD http://au.ds.download.windowsupdate.com/c/msdownload/update/software/secu/2016/08/windows10.0-kb3176... - HIER_NONE/- text/html
1472240867.381 0 10.1.1.8 TCP_DENIED/407 401 HEAD http://au.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2016/07/windows10.0-kb3172... - HIER_NONE/- text/html
1472240867.383 0 10.1.1.8 TCP_DENIED/407 401 HEAD http://au.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2016/07/windows10.0-kb3172... - HIER_NONE/- text/html


Sem mais, agradeço a atenção que o amigo tem prestado e fico no aguardo. Abraço!

Buckminster
(usa Debian)

Enviado em 30/08/2016 - 00:23h

1) Interceptação SSL (Sem muita urgência na implantação mas caso o amigo já tenha alguma manha sobre o tema, fico agradecido. Tenho pesquisado e estudado sobre o assunto nos últimos dias e vi que não é "mol" de implantar o bicho...)

Para implementar o bloqueio a páginas HTTPS tu deverá ter o Squid compilado com a opção --enable-ssl e --with-openssl.
Não é tão difícil implementar.

Links para auxílio:

https://www.vivaolinux.com.br/artigo/Compilando-o-Squid3/

https://www.vivaolinux.com.br/artigo/Squid-+-proxy-transparente-+-autentificacao-+-SSL


2) Cache (mem e dir)

https://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/

Como tu tem 4GB de RAM, pode aumentar o cache_mem para 2048, claro que isso depende dos outros serviços que tu tem no servidor. Caso o servidor seja exclusivo para o Squid, pode colocar 2048 MB de cache_mem sem medo.

Quanto ao cache, veja os códigos nos links abaixo.
E veja que

TCP_MISS/200
O objeto requisitado não estava no cache
com o código de status 200 que é OK.

significa que teu Squid não está fazendo cache para as requisições da máquina 10.1.1.8, mas está buscando direto na origem (no site), HIER_DIRECT.

e para o Windows Update

TCP_DENIED/407 401
O acesso foi negado para esta solicitação
com o código de status 407 (Proxy Authentication Required) autenticação de proxy requerida e
401 Unauthorized, não autorizado.

Provavelmente a máquina 10.1.1.8 não tem o usuário autenticado no proxy.
Esse IP 10.1.1.8 é do servidor em questão ou é de uma máquina cliente?

Veja os códigos de status do Squid, são bastante úteis (aconselho a copiar e colar esses códigos para uso constante, principalmente do primeiro link abaixo):

http://wiki.squid-cache.org/SquidFaq/SquidLogs

https://linuxrede.wordpress.com/2013/12/09/codigos-de-status-do-log-do-squid/

https://ricardobarbosams.wordpress.com/2009/12/30/codigo-de-erros-e-status-squid/

http://ensinalinux.blogspot.com.br/2013/02/codigos-de-status-do-squid.html

http://www.devin.com.br/paginas-de-erros-no-squid/

Veja bem, para esclarecimentos, nessa linha abaixo, por exemplo,

1472240867.342 0 10.1.1.8 TCP_DENIED/407 401 HEAD http://au.ds.download.windowsupdate.com/c/msdownload/update/software/secu/2016/08/windows10.0-kb3176.... - HIER_NONE/- text/html

o numerozão ali em primeiro é o número da requisição (esse número é o Squid quem faz), o IP em seguida é o IP da máquina que solicitou a requisição (pediu um site, por exemplo), depois vem os códigos, depois vem o endereço e depois, às vezes, vem o IP da máquina do site requisitado como na linha abaixo:

1472241746.259 326255 10.1.1.8 TCP_MISS/200 4202 CONNECT bn4sch101121505.wns.windows.com:443 michele HIER_DIRECT/65.52.108.232

SuperSlackware
(usa Slackware)

Enviado em 03/09/2016 - 21:37h

Da uma olhada nesse link essa conf do squid esta bem comentada

http://gutocarvalho.net/dokuwiki/doku.php/squid_autenticando_em_ntlm

galoleite
(usa Ubuntu)

Enviado em 05/09/2016 - 09:10h

Bom dia.
Prezados amigos Marcos e Buckminster, primeiro quero agradecer a atenção de vcs no caso e pedir desculpas pela minha demora em responder.
Semana passada cai pra dentro do projeto, me tranquei numa sala, estudei "as ganhas", bebi alguns litros de café, pesquisei bastante, fui na tentativa e erro, mais alguns litros de café e consegui colocar muita coisa já pra funcionar, autenticação, permissões de grupos, bloqueios, cache, ta tudo rodando redondo dentro dos testes que fiz até o momento, essa semana seguem mais aprofundados com maquinas que utilizam VPNs, TS, etc...
Também comprei um livro sobre IPTables pra poder entender melhor a lógica da coisa e to indo... Bem mais tranquilo agora que no começo! hehehehehe!

Prezados, aproveito para tirar outras três dúvidas:
1) Sobre essa linha: "hierarchy_stoplist cgi-bin \?"
Isso funciona mesmo ou é mais uma daquelas regras que antes funcionavam, caiu em desuso nas atualizações mais o pessoal continua colocando em tudo sem saber bem o pq?
Pesquisei bastante sobre, inclusive na documentação oficial e não consegui sacar a lógica dela...
Durante os testes as vezes tenho problemas com o site do Hotmail. As vezes ele abre, as vezes ele trava e aparece só o cabeçalho e acho que isso tem a ver com o Squid, pois no servidor transparente atual que ainda temos aqui operando, isso acontece tb e só resolve quando eu reinicio o squid.

2) É verdade que é aconselhável por a cache_dir em outro disco pois devido a quantidade de escritas e consultas o tempo todo, o disco onde fica a cache_dir tende a falhar/estragar mais rápido? (meio lógico, eu sei... mas não custa saber mais sobre o tema...)

3) Sobre controle de banda: Eu não gostaria de por o Squid para fazer o controle de banda pois gostaria de controlar tudo, não apenas na web. Pesquisei bastante sobre o tema (HTB e outros) e vi que a maioria das soluções de controle de banda wan/lan prejudicam a performance da consulta em cache, que entra nas regras tb. Algumas dicas?

No mas, reitero minhas desculpas pela demora e meus agradecimentos pela ajuda e atenção.

Abraços!

Buckminster
(usa Debian)

Enviado em 12/09/2016 - 03:46h

TAG: hierarchy_stoplist
Lista de palavras que, se encontradas em uma URL, fazem com que o objeto seja tratado diretamente por este cache. Em outras palavras, use esta opção para não consultar caches vizinhos para determinados objetos. Você pode listar esta opção várias vezes.

Exemplo:
hierarchy_stoplist cgi- bin ?


Nota: never_direct substitui essa opção.
Deafult: none

Caso tu não use outro cache (consulta a outros proxies na rede) desconsidere esta opção.

Buckminster
(usa Debian)

Enviado em 12/09/2016 - 03:56h

2) É verdade que é aconselhável por a cache_dir em outro disco pois devido a quantidade de escritas e consultas o tempo todo, o disco onde fica a cache_dir tende a falhar/estragar mais rápido? (meio lógico, eu sei... mas não custa saber mais sobre o tema...).

Isso depende. Se tu colocar o cache_dir em um disco SSD ele terá menos propensão a falhas.
Aconselho, independentemente de colocar no mesmo disco ou em outro, a não colocar um cache_dir maior do que 5 GB (5120 MB), a não ser que irá fazer cache de vídeos e, mesmo assim, depende do tamanho dos vídeos que irão baixar na tua rede.
Lembre que o Squid substitui automaticamente os arquivos mais antigos quando o cache lota (parâmetros cache_swap_high e cache_swap_low) associado ao

TAG: maximum_object_size (bytes)
Limite default do tamanho máximo de objetos armazenados no disco.
Este tamanho é usado para o cache_dir onde o tamanho máximo não está definido.
O valor é especificado em bytes e o default é de 4 MB.

Ou seja, caso tu queira que não sejam armazenados em cache arquivos maiores que, por exemplo, 1 GB, tu coloca 1024 MB no maximum_object_size.

Em relação aos 5 GB citados antes, digo isso porque o cache_dir funciona tipo um índice, ou seja, raciocine como se fosse um índice de páginas de um livro, quanto maior o índice, mais tempo se leva para procurar o que se quer.

https://www.vivaolinux.com.br/artigo/Squid-Entendendo-um-pouco-as-configuracoes/