Problemas com o Squid e google.com [RESOLVIDO]

marceloprimon
(usa Debian)

Enviado em 21/09/2012 - 11:51h

Olá, bom dia.

Estou com um problema no meu Squid3. As máquinas que acessam através do squid o google.com às vezes funcionanm e às vezes apresentam mensagens aleatórias no squid:
No DNS Records
(101) Network is unreachable

Quem está fora do squid navega normal.

Já troquei o dns no servidor e nas estações e nada.

Até passei o proxy de autenticado para transparente, mas nada que tentei resolveu.

Meu servidor é Ubuntu 12.04 x64

Nele eu mudei o dns para o google, meu provedor e opendns, mas nenhum deles resolveu.

Alguém tem idéia do que pode ser? Desde já agradeço.

Seguem minhas confs:

squid.conf


http_port 3128 transparent
visible_hostname SERVIDOR

error_directory /usr/share/squid3/errors/Portuguese

cache_mem 4096 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 21 59 70 80 210 280 443 465 488 563 587 777 901 1863 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl ips_liberados src "/etc/squid3/ips_liberados"
http_access allow ips_liberados

#Bloqueia acessos de fora da rede local antes de passar pela autenticacao
acl redelocal src 192.168.0.0/24
http_access deny !redelocal

#Outras regras de restricao vao aqui, de forma que o aceso seja negado
#antes mesmo de passar pela autenticacao

#Bloqueia sites indesejados
acl bloqueados url_regex -i "/etc/squid3/bloqueados"
http_access deny bloqueados

#Bloqueia palavras indesejadas na url
acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

# Website Navigation restricted - lunch time
#acl net_local src 192.168.0.0/255.255.255.0
#acl bsites url_regex "/etc/squid3/time_block"
#acl lunch time MTWHF 12:00-13:15
#http_access deny net_local bsites !lunch

# Libera sites especificos de autenticacao
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"
http_access allow sites_liberados

# Liberacao MSN
acl msn url_regex -i "/etc/squid3/msn"
http_access allow !msn

#Bloqueia download de extensoes indesejadas
#acl extban url_regex -i \.avi \.mp3 \.torrent \.wmv \.iso \.mpg \.mpeg
#http_access deny extban

#Autentica o usuario ncsa_auth:
#auth_param basic realm Acesso restrito - digite seu login e senha
#authenticate_ip_ttl 5 minutes
#auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
#acl autenticados proxy_auth REQUIRED
#http_access allow autenticados

#Libera o acesso da rede local e do localhost para os autenticados,
#bloqueia os demais:
http_access allow localhost
http_access allow redelocal
http_access deny all


------------------------------------------------------------------------------

Firewall


#!/bin/bash
# Local

iniciar(){

#Loading modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#Connection sharing
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Connection sharing activated"

# IPs excluded from Squid
#CSRV
iptables -t nat -I PREROUTING -s 192.168.0.81 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.81 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.81 -j ACCEPT

#Accepts everything on local lan:
iptables -A INPUT -i eth0 -j ACCEPT

# Tap opening
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

# Port opening
iptables -A INPUT -m multiport -p tcp --dports 22,953,1194,1723,5222,10000 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 953,1194,1723

# Port opening for server
iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 1433,3389,5771 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A PREROUTING -p udp -i eth1 -m multiport --dport 1433,5771 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1

# Pings limited to 1 per second:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# SYN cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# IP spoofing protection:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Atack protection, drops invalid packets
iptables -A INPUT -m state --state INVALID -j DROP

# Loopback interface opening
iptables -A INPUT -i lo -j ACCEPT

# UDP ports blocking - 0 to 1023:
iptables -A INPUT -p udp --dport 0:1023 -j DROP

# Squid
#iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 80 -j DROP

# Proxy Transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Blocks new connections, blocking external access to the server, except the ports opened above:
iptables -A INPUT -p tcp --syn -j DROP
echo "Firewall rules are now active"

}

parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Firewall and sharing deactivated"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use start or stop"
esac
exit 0

marceloprimon
(usa Debian)

Enviado em 21/09/2012 - 12:40h

Pois é Thiago, não liguei lá ainda. Vou verificar. Se for lá o problema eu dou um feedback aqui. Obrigado pela atenção.

marceloprimon
(usa Debian)

Enviado em 21/09/2012 - 12:42h

Mas será que tem a ver com a operadora? Quem não passa pelo squid acessa normalmente.

thiago_dias
(usa CentOS)

Enviado em 21/09/2012 - 12:45h

Sendo assim temos que olhar com mais calma, pensei que as pessoas que passam por fora do proxy, utilizassem outra conexão, mas como eles usam a mesma conexão, temos que ver.

marceloprimon
(usa Debian)

Enviado em 21/09/2012 - 12:45h

Até a propaganda do google que aparece aqui nessa página dá erro:

Incapaz de determinar o endereço IP através do nome do host googleads.g.doubleclick.net

marceloprimon
(usa Debian)

Enviado em 21/09/2012 - 13:01h

Então Thiago. O que é mais engraçado é que outros buscadores (yahoo por exemplo) funcionam normalmente. O negócio é com o Google mesmo. Pra baixar um aplicativo com google Chrome ou Earth da problema. Para acessar o google maps também dá problema.

Notei que se eu reinicio o serviço do squid o google volta a funcionar, mas depois de poucos minutos fica intermitente novamente.

thiago_dias
(usa CentOS)

Enviado em 21/09/2012 - 14:06h

Estranho mesmo, poste a saida do log do squid para que a gente possa dar uma olhada:

Acesse o google e copie a saída do comando abaixo:

tail -f /var/log/squid/access.log

Abraços

phrich
(usa Slackware)

Enviado em 21/09/2012 - 15:32h

Cara, o problema está no seu script de firewall, organize-o da seguinte forma:

- AJUSTES
Módulos, habilitar roteamento, etc

- REGRAS DE NAT

- REGRAS DE INPUT

- REGRAS DE OUTPUT

- REGRAS DE FORWARD

E outro detalhe, vc não liberou a 53 (tcp e udp) em OUTPUT e em FORWARD.

thiago_dias
(usa CentOS)

Enviado em 21/09/2012 - 15:51h

Se fosse problema de firewall, era para ele nunca abrir os sites do google, mais tem hora que abre e tem hora que não, sem contar que quando ele reinicia o squid abre normalmente durante um tempo. Por isso não pensei em nada com relação ao firewall.

marceloprimon
(usa Debian)

Enviado em 31/07/2013 - 18:37h

Nós acabamos trocando a internet por uma fibra e fiz a autenticação direto no servidor pelo pppoeconf.

Deu tudo certo. Obrigado a todos os que me ajudaram.