Conexão lenta!

1. Conexão lenta!

jonathanch
(usa Debian)

Enviado em 27/02/2020 - 12:42h

Ola, estou com um problema na minha empresa e espero que alguém possa me ajudar.
Tenho um Debian com squid para gerenciar minha rede o problema e que a navegação esta muito lenta em sites que utilizam http e os que utilizam https as vezes nem abre.
Segue meu squid:

### ARQUIVO DE CONFIGURACAO DO SQUID ###

http_port 3128

## CACHE ##
maximum_object_size 4096 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 64 KB
cache_mem 512 MB

## AJUSTA A PERFORMANCE EM CONEXOES PIPELINE ##
pipeline_prefetch on

## CACHE DE FQDN ##
fqdncache_size 1024

## OPCOES DE REFRESH PATTERN ##
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

## DEFINE A PORCENTAGEM DO USO DO CACHE ##
cache_swap_low 90
cache_swap_high 95

## ARQUIVO DE LOGS DO SQUID ##
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log

## DEFINE O LOCAL DO CACHE ##
cache_dir ufs /var/spool/squid 1600 16 256

## CONTROLE DE ROTACAO DOS ARQUIVOS DE LOGS ##
logfile_rotate 10

## ARQUIVO ONDE CONTEM OS ENDERECOS LOCAIS DA REDE ##
hosts_file /etc/hosts

## ACLS - PORTAS PADROES LIBERADAS ##
acl SSL_ports port 80 #HTTP
acl SSL_ports port 443 #HTTPS
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 5222 # teste_Spark
acl Safe_ports port 9090 # teste_Spark open_fire
acl Safe_ports port 9091 # teste_Spark open_fire
acl CONNECT method CONNECT

### DEFININDO MODO DE AUTENTICACAO
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid/usuarios
auth_param basic children 5
auth_param basic realm "===== ACESSO RESTRITO ======= DIGITE SEU USUARIO E SENHA PARA ACESSO A INTERNET:"
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

### ACL PARA GARANTIR A AUTENTICACAO DO USUARIO NOS SITES ###
acl autenticados proxy_auth REQUIRED

## BLOQUEIA O ACESSO UNSAFE PORTS ##
#http_access deny !Safe_ports

## Deny CONNECT to other than secure SSL port ##
#http_access deny CONNECT !SSL_ports

### IP's liberados ####
acl ip_liberados src "/etc/squid/regras/ip_liberados"

## SITES LIBERADOS SEM AUTENTICACAO PARA ACESSO ##
acl sites-sem-autent url_regex -i "/etc/squid/regras/sites_liberados_sem_autent"

## SITES BLOQUEADOS PARA ACESSO ##
acl sites-bloqueados url_regex -i "/etc/squid/regras/sites_bloqueados"

## SITES LIBERADOS PARA ACESSO ##
acl sites-liberados url_regex -i "/etc/squid/regras/sites_liberados"

## LIBERACAO PARA GRUPO TI - SUPORTE ##
acl acesso_suporte proxy_auth "/etc/squid/regras/suporte"

## LIBERACAO PARA GRUPO MARKETING ##
acl acesso_marketing proxy_auth "/etc/squid/regras/marketing"

acl coordena proxy_auth "/etc/squid/regras/coordena"

acl secre_uno proxy_auth "/etc/squid/regras/secre_uno" #secretaria#
acl coord_uno proxy_auth "/etc/squid/regras/coord_uno" #coordenacao#

acl proibido_secre_uno url_regex "/etc/squid/regras/secre_uno" #secretaria#
acl proibido_coord_uno url_regex "/etc/squid/regras/coord_uno" #coordenacao#

## DEFININDO A ORDEM DAS REGRAS - ACLS ##
http_access allow sites-sem-autent

http_access allow autenticados

http_access allow secre_uno
http_access allow coord_uno
http_access deny proibido_secre_uno
http_access deny proibido_coord_uno

http_access allow coordena
http_access allow acesso_suporte
http_access allow ip_liberados
http_access allow acesso_marketing
http_access deny sites-bloqueados
#http_access allow autenticados
http_access allow sites-liberados
http_access deny all
http_reply_access allow all
icp_access allow all
miss_access allow all

## NOME QUE IRA APARECER NA TELA DE ERRO OU BLOQUEIO DO SQUID ##
visible_hostname FENIX

## DIRETORIO DAS PAGINAS DE ERROS ##
error_directory /usr/share/squid/errors/pt-br

## OUTRAS OPCOES DE CACHE ##
#cache_effective_user proxy
#coredump_dir /var/spool/squid

0 0

Quote

2. Re: Conexão lenta!

LSSilva
(usa Outra)

Enviado em 27/02/2020 - 18:44h

Prezado, boa noite!

Como está seu script de firewall? Já tive este problema e estava relacionado à Masquerading (SNAT). Se não me engano, ao fazer o masquerading, tive que determinar rede de origem e interface de saída. Com isto, houve melhora.

0 0

Quote

3. Conexão lenta!

jonathanch
(usa Debian)

Enviado em 28/02/2020 - 13:15h

Boa tarde!

Vou fazer isso para ver se melhora. Obrigado
segue meu firewall:

#!/bin/bash
iniciar(){
#Compratilhar a conex?o ADSL em modo bridge (PPPOE) Via Iptables
modprobe iptable_nat

iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

# Liberando acesso EXTERNO para o APACHE
# HTTP/HTTPS - Apache e outros webservers
#iptables -t mangle -I PREROUTING -i enp2s0 -p tcp --dport 80 -m state --state ! INVALID -j ACCEPT
#iptables -t filter -I INPUT -i enp2s0 -p tcp --dport 80 -m state --state ! INVALID -j ACCEPT

# --------------------------- #
# PROXY #
# --------------------------- #

#iptables -t nat -A PREROUTING -i $ADM -p tcp -dport 80 -j REDIRECT -to-port 3128
#iptables -t nat -A PREROUTING -i $ADM -p tcp -dport 8080 -j REDIRECT -to-port 3128

#iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# IP's Liberados

iptables -t nat -A POSTROUTING -s 192.168.10.252 -o eth1 -j MASQUERADE #print-server

# proxy transparente

#iptables -t nat -A PREROUTING -i enp2s0 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A INPUT -p tcp --dport 8000 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#Liberando porta webmin
iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

###spark
iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
iptables -A INPUT -p tcp --dport 5222 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT
iptables -A INPUT -p tcp --dport 9090 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 9091 -j ACCEPT
iptables -A INPUT -p tcp --dport 9091 -j ACCEPT

#Redirecionando para 3130
#iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 443 -j REDIRECT --to-port 3128

#iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Redirecionar porta 80 para 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 5060 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 443 -j REDIRECT --to-port 3128

# Garante conexoes ja iniciadas continuem estaveis
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "REGRAS DE FIREWAL ATIVADAS"
sleep 3
}
parar(){
#Limpa todas as REGRAS DO IPTABLES
iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "REGRAS DE FIREWAL E COMPARTILHAMENTO DESATIVADAS"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "USE START OU STOP"
sleep 3
esac

0 0

Quote

4. Re: Conexão lenta!

LSSilva
(usa Outra)

Enviado em 01/03/2020 - 23:16h

Deu certo?

Se pegarmos seu firewall sem comentários, ele ficaria assim:



#!/bin/bash

iniciar(){

modprobe iptable_nat



iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE



echo 1 > /proc/sys/net/ipv4/ip_forward



iptables -t nat -A POSTROUTING -s 192.168.10.252 -o eth1 -j MASQUERADE #print-server



iptables -A INPUT -p tcp --dport 8000 -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT

iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT

iptables -A INPUT -p tcp --dport 5222 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 9090 -j ACCEPT

iptables -A INPUT -p tcp --dport 9090 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 9091 -j ACCEPT

iptables -A INPUT -p tcp --dport 9091 -j ACCEPT



iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 5060 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 8080 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 443 -j REDIRECT --to-port 3128



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "REGRAS DE FIREWAL ATIVADAS"

sleep 3



}

parar(){

iptables -F

iptables -t nat -F

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

echo 0 > /proc/sys/net/ipv4/ip_forward

echo "REGRAS DE FIREWAL E COMPARTILHAMENTO DESATIVADAS"

}



case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "USE START OU STOP"

sleep 3

esac

Como você não definiu política padrão no "iniciar", ele poderia ficar assim e ter o mesmo efeito que tem hoje:



#!/bin/bash

iniciar(){

modprobe iptable_nat

iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE



echo 1 > /proc/sys/net/ipv4/ip_forward



iptables -t nat -A POSTROUTING -s 192.168.10.252 -o eth1 -j MASQUERADE #print-server



iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 5060 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 8080 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 443 -j REDIRECT --to-port 3128



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "REGRAS DE FIREWAL ATIVADAS"

sleep 3



}

parar(){

iptables -F

iptables -t nat -F

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

echo 0 > /proc/sys/net/ipv4/ip_forward

echo "REGRAS DE FIREWAL E COMPARTILHAMENTO DESATIVADAS"

}



case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "USE START OU STOP"

sleep 3

esac

Posso estar errado, mas vejo que direciona as 3 portas para o squid:



iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 5060 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 8080 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 443 -j REDIRECT --to-port 3128

Porta SIP (5060) TCP, além de não ser comumente usada (usa-se mais UDP), não vejo relação com SQUID (posso estar errado).
Porta 8080, tem que ser visto mais detalhadamente, mas creio que seja dispensável também.
Porta 443, creio não haver necessidade. É tráfego protegido. Por meios comuns (sem MITM), creio que não irá surtir efeito e deve, talvez, atrapalhar.

Então, para começar, tentaria o seguinte:

#!/bin/bash

iniciar(){

modprobe iptable_nat



echo 1 > /proc/sys/net/ipv4/ip_forward



iptables -t nat -A PREROUTING -i enp4s1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -s 192.168.10.252 -o eth1 -j MASQUERADE #print-server

iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE



echo "REGRAS DE FIREWAL ATIVADAS"



}

parar(){

iptables -F

iptables -t nat -F

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

echo 0 > /proc/sys/net/ipv4/ip_forward

echo "REGRAS DE FIREWAL E COMPARTILHAMENTO DESATIVADAS"

}



case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "USE START OU STOP"

esac

É válido lembrar que seu firewall está completamente permissivo e quaisquer serviços vulneráveis que seu servidor esteja rodando, estarão disponíveis para ataque. Seria melhor rever este firewall.

0 0

Quote