Squid3 Parando

arasouza
(usa Debian)

Enviado em 14/04/2016 - 17:41h

Não acho q seja IPV6, se fosse daria problema ao navegar sem proxy, cara vc teria outra maquina para instalar o proxy? quanto tem de memoria este srv? squid consome bastante mem. do srv, por isso ele inicia bem mais depois não consegue administrar legal, quantas maquinas tem na empresa, vc fez o calculo para saber o tamanho exato do seu cache x numero de pcs?, pois pode ser também o cache.

Buckminster
(usa Debian)

Enviado em 14/04/2016 - 21:12h

Posta aqui teu script do Iptables.

Mandrack
(usa Debian)

Enviado em 15/04/2016 - 07:35h

Bom dia arasouza,
Server Core i7 32bits Ubuntu 14.04 lts Hd de 500gb Memoria de 4GB

Mandrack
(usa Debian)

Enviado em 15/04/2016 - 07:38h

#!/bin/sh

echo 'script de compartilhamento da internet'

# Carrega os módulos
modprobe iptables
modprobe iptable_nat

# Compartilha a conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# protege contra pacotes danificados (usados em ataques DoS por exemplo) é:
# iptables -A FORWARD -m unclean -j DROP


# Redireciona para SQUID - Aqui eu travei essas duas linhas pq o squid nao estava rodando bem na rede então liberei pelo Iptables
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128


# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT

#Liberando Outlook
iptables -A FORWARD -p udp -s 192.168.2.5 -d 208.67.222.222 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 208.67.222.222 --sport 53 -d 192.168.2.5 -j ACCEPT

# Liberando portas outlook
iptables -A FORWARD -p TCP -s 192.168.2.5 --dport 587 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.5 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 587 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

#fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

arasouza
(usa Debian)

Enviado em 15/04/2016 - 09:31h

Algumas observações – SQUID – Faça um bkp do seu squid.conf e considere testar as obs.
Você tem 4 giga de ram correto? Então acho que esta linha:
cache_mem 256 MB
Poderia ficar:
cache_mem 2048 ou 1024 MB <== acho que 256 é pouco você ainda não falou qntos pcs tem na empresa. Considere aumentar para 1024 mb e depois para 2048

Considere as alterações das linhas abaixo:
- Nesta linha:
acl localhost src 192.168.2.0/255.255.255.0 #rede local
- Acho que temos uma incongluência: localhost Não é rede local e sim o host, você tem que alterar para :
acl localhost src 127.0.0.1/32 #localhost

- Esta linha:
acl localnet src 192.168.1.1 #link acesso
- Se for a rede de acesso deverá ficar:
acl localnet src 192.168.1.0/24 #local lan

- Não sei qual a finalidade da linha abaixo:
acl localnet src 192.168.2.5 #ip_computador


Considere testar com a seguinte linha No firewall:
iptables – A INPUT ! -i Interface_Wan -j ACCEPT
#aqui você aceita qualquer pacote que não venha da Wan, liberado sua rede interna e assim poderiamos verificar o func. Do squid.

Obs. naõ relacionadas:
- Esta linha e desnecessária, <= você também não falou se usa proxy transparente....
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

- Veja esta linha pois ataque de negação de serviço é mais baseada em Synflood, que esta linha abaixo não vai proteger você contra DoS.
# protege contra pacotes danificados (usados em ataques DoS por exemplo) é:
# iptables -A FORWARD -m unclean -j DROP


você apagou e recriou o cache?
Tem algum outro equipamento para testar a instalação?

Mandrack
(usa Debian)

Enviado em 15/04/2016 - 10:02h

Temos 60 computadores na rede
Nesta linha eu deixei "rede" por orientação mas era localhost.
192.168.2.0/255.255.255.0 agora está 192.168.2.0/24. Só uma duvida porque 127.0.0.1/32 ?

- Esta linha:
acl localnet src 192.168.1.1 #link acesso Está linha e a internet do modem irei trocar para o recomendado acl localnet src 192.168.1.0/24

-Esta linha abaixo e o ip do servidor local e o ip que atribuo nos terminais (navegador) ex 192.168.2.5:3128
acl localnet src 192.168.2.5 #ip_computador

depois do proxy funcionado normalmente eu adicionei essa linha para força o uso do proxy nos navegadores, mas desabilitei porque o squid não ta legal.
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
# iptables -A FORWARD -m unclean -j DROP i#Irei desabilitar essa linha

Em qual posição adiciono essa linha
iptables – A INPUT ! -i Interface_Wan -j ACCEPT

irei aumentar a cache e sim já apaguei e recriei a cache algumas vezes

Mandrack
(usa Debian)

Enviado em 15/04/2016 - 13:26h

# REGRAS DO SQUID
#
# Squid normally listens to port 3128
http_port 3128
visible_hostname WEBPROXY


acl localhost src 127.0.0.1/32 #host
acl rede_local src 192.168.2.0/24 #rede local
acl localnet src 192.168.1.0/24 #link acesso
acl localnet src 192.168.2.5 #ip_computador


acl SSL_ports port 443
acl safe_ports port 587 # mail-outlook
acl safe_ports port 110 # mail-outlook
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#delegando as permissoes e acessos
http_access allow localhost
http_access allow rede_local
http_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access deny all

cache_mem 1024 MB
maximum_object_size_in_memory 512 MB
minimum_object_size 0 KB
maximum_object_size 512 KB
cache_swap_low 90
cache_swap_high 95

cache_dir aufs /var/spool/squid3 16000 16 256
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
coredump_dir /etc/squid3/var/cache/squid


refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

Depois das alterações deu um erro ao iniciar o squid
executablepath
/usr/lib/squid3/pinger

arasouza
(usa Debian)

Enviado em 15/04/2016 - 13:31h

Ok vamos lá:

Só uma duvida porque 127.0.0.1/32, aqui vc está liberando para o srv acessar o proxy, tenha em mente o seguinte:
liberar para que o localhost e a rede (lan ) tenha acesso

As acls são para permitir ou negar algo nos casos:
acl localhost src 127.0.0.1/32 #localhost
acl localnet src 192.168.1.0/24 #local lan

no primeiro libere o acesso ao proxy ao servidor, (host)
no segundo libere o acesso a rede local para que os pcs da sua rede tenha acesso a rede, por exemplo se alguém que não seja da rede 192.168.1.0 tentar acessar não acessará entendeu?

NÃO PRECISA DESABILITAR, apenas tenha em mente que ela protege vc contra pacotes mal formados e não especificamente contra negação de serviço, depois aconselho a pesquisar mais sobre SYN FLOOD
# iptables -A FORWARD -m unclean -j DROP i#Irei desabilitar essa linha

Em qual posição adiciono essa linha
Logo após a habilitação do roteamento: echo > 1........
iptables – A INPUT ! -i Interface_Wan -j ACCEPT

só uma dúvida, vc está acessando a rede externa através de um modem correto?

wan --> modem (qual ip)
lan --> switch (qual ip da rede)

Mandrack
(usa Debian)

Enviado em 15/04/2016 - 13:54h

Ok vamos lá:

Só uma duvida porque 127.0.0.1/32, aqui vc está liberando para o srv acessar o proxy, tenha em mente o seguinte:
liberar para que o localhost e a rede (lan ) tenha acesso

As acls são para permitir ou negar algo nos casos:
acl localhost src 127.0.0.1/32 #localhost
acl localnet src 192.168.1.0/24 #local lan

no primeiro libere o acesso ao proxy ao servidor, (host)
no segundo libere o acesso a rede local para que os pcs da sua rede tenha acesso a rede, por exemplo se alguém que não seja da rede 192.168.1.0 tentar acessar não acessará entendeu?

NÃO PRECISA DESABILITAR, apenas tenha em mente que ela protege vc contra pacotes mal formados e não especificamente contra negação de serviço, depois aconselho a pesquisar mais sobre SYN FLOOD
# iptables -A FORWARD -m unclean -j DROP i#Irei desabilitar essa linha

Em qual posição adiciono essa linha
Logo após a habilitação do roteamento: echo > 1........
iptables – A INPUT ! -i Interface_Wan -j ACCEPT

só uma dúvida, vc está acessando a rede externa através de um modem correto?

wan --> modem (qual ip)
lan --> switch (qual ip da rede)[/quote]

wan --> modem (192.168.1.1)
lan --> switch (192.168.2.0)[/quote]

Mandrack
(usa Debian)

Enviado em 15/04/2016 - 14:30h

# REGRAS DO SQUID
#
# Squid normally listens to port 3128
http_port 3128
visible_hostname WEBPROXY

acl localhost src 127.0.0.1/32 #host
acl rede_local src 192.168.2.0/24 #rede local
acl localnet src 192.168.1.0/24 #link acesso

acl SSL_ports port 443
acl safe_ports port 587 # mail-outlook
acl safe_ports port 110 # mail-outlook
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#delegando as permissoes e acessos
http_access allow localhost
http_access allow rede_local
http_access allow localnet
http_access allow localhost manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny all

cache_mem 1024 MB
maximum_object_size_in_memory 512 MB
minimum_object_size 0 KB
maximum_object_size 512 KB
cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid3 16000 16 256
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
coredump_dir /etc/squid3/var/cache/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

Buckminster
(usa Debian)

Enviado em 15/04/2016 - 19:58h

Veja bem a ACL localhost é padrão do squid (bem como a ACL all), não se deve colocar essa palavra em outra ACL.
Essa ACL localhost já vem criada por padrão, basta depois somente deny ou allow.

Estão se esgotando as minhas opções, faça o seguinte:

# rm -rf /var/spool/squid3

# mkdir /var/spool/squid3

# squid3 -z

Caso der algum erro de permissões, execute:

# chmod 777 /var/spool/squid3

# squid3 -z

Aguarde recriar o cache e reinicie o squid e teste.

Giovanni_Menezes
(usa Devuan)

Enviado em 15/04/2016 - 21:53h

Não é solução do caso em questão, mas vou deixar aqui algumas observações:

cache_mem 256 MB
maximum_object_size_in_memory 512 MB

Porque você definiu como máximo 512 MB de cache quando no máximo cabe 256 MB???

Eu no seu lugar também mudaria aqui

cache_swap_low 75
#cache_swap_high 78
cache_swap_high 95

Boa sorte.