Squid Travando / Ajuda!

gustavoslack
(usa Slackware)

Enviado em 23/07/2008 - 15:56h

Ola!!! Galera,
estou com problemas, o slackware com squid e iptables instalado esta travando direto, coloco o usuario autenticado, abre a pagina inicial e trava. as vezes mando reparar a conexão do Xp e ai volta(as vezes).
bom ja troquei as placas de slot, a propria maquina mesmo não trava, continua navegando na boa. foi com este pensamento que procurei o problema mas sem sucesso.com certeza deve ser alguma besteira, mas não tô achando. ta fogo cabeça quente mano.
por favor se alguem poder ajudar, ficarei muito feliz!!!
ai vai o squid.conf e rc.firewall completos mesmo:

http_port 3128
visible_hostname firewall
ftp_user asdf@asdf.com
cache_mem 256 MB

#autenticação de usuario

auth_param basic children 15
auth_param basic realm ENTRE COM SEU LOGIN E SENHA, ESTE SERVIÇO É UM PRIVILÉGIO E NÃO UM DIREITO, PORTANTO USE-O COM RESPONSABILIDADE auth_param basic credentialsttl 2 hours auth_param basic program /usr/bin/ncsa_auth /etc/squid/passwd

maximum_object_size_in_memory 64 KB
maximum_object_size 700 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid 2000 32 256

refresh_pattern ^ftp: 15 2% 2280
refresh_pattern ^gother: 15 0% 2280
refresh_pattern . 15 20% 2280

#cache_effective_user squid

########
# LOGS #
########

cache_access_log /var/log/squid/access.log


#########
# ACLs ##
#########


acl all src 0.0.0.0/0.0.0.0

# A acl permitidos são os IPs que não terão sua navegação restrita
#acl permitidos src 192.168.0.20

acl localhost src 127.0.0.1

acl redelocal src 192.168.0.0/24

acl SSL_ports port port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # swat acl Safe_ports port 1025-65535 # portas altas acl purge method PURGE acl CONNECT method CONNECT

#AUTENTICAÇÃO
acl password proxy_auth REQUIRED

#acl que controla o acesso por usuarios
acl proibido proxy_auth -i "/etc/squid/proibidos"
acl total proxy_auth -i "/etc/squid/acetotal"
acl restrito url_regex -i "/etc/squid/restrito"
acl excecoes url_regex -i "/etc/squid/excecoes"

# Bloqueia download e execusao dos arquivos com estas extensoes #acl streaming rep_mime_type ^video/x-ms-asf #acl proibir_musica1 urlpath_regex -i \.asp$ \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.asp$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3 \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ #acl proibir_musica2 urlpath_regex -i \.ram$ \.ra$ \.snd$ \.wma$ \.wmv$ \.wvx$ \.midi$ \.rmi$ #acl mult urlpath_regex .atz$ .exe$ .mp3 .pps$ .ppt$ .asfv1 .mpeg$ .mpg$ .pps$ .mov$ .avi$ .asf$ wmv$ .ra$ .rm$ .ram$ .asx$ .asf$ .afx$ .divx$ .m3u$ .viv$ .vivo$ .vo$ .tar$ !total #acl mult2 urlpath_regex .mp2$ .mp3$ .mp4$ .wma$ .wmv$ .avi$ .rar$ .mpeg$ .mpg .asf$ .asx$ .divx$ m3u$ .ram$ .viv$ .flv$ .zip$ .torrent$ #acl nofiles urlpath_regex -i \.(atz|exe|mp2|mp3|mp4|wma|wmv|avi|rar|tar|mpeg|mpg|asf|asx|divx|m3u|ram|viv|flv|zip|torrent|iso|bwt|ccd|cdi|cif|cue|gi|img|ncd|nrg|mdf|pdi|mds)$
#acl blockexe urlpath_regex -i \.
atz|mp2|mp3|mp4|wma|wmv|avi|rar|tar|mpeg|mpg|asf|asx|divx|m3u|ram|viv|flv|zip|torrent|iso|bwt|ccd|cdi|cif|cue|gi|img|ncd|nrg|mdf|pdi|mds)($|\?)
#acl Download rep_mime_type "/etc/squid/Download.txt"

#acls para controle por tipo de usuario
#acl ctb proxy_auth -i "/etc/squid/ctb"
#acl fdc proxy_auth -i "/etc/squid/fsc"
#acl dp proxy_auth -i "/etc/squid/dp"
#acl diretoria proxy_auth -i "/etc/squid/diretoria"

# As ACLs a seguir, bloqueiam downloads pelas extensões dos arquivos.
acl exe url_regex -i .exe !total
acl zip url_regex -i .zip !total
acl rar url_regex -i .rar !total
acl scr url_regex -i .scr !total
acl msi url_regex -i .msi !total
acl wmv url_regex -i .wmv !total
acl pif url_regex -i .pif !total
acl avi url_regex -i .avi !total

acl proibidos url_regex -i "/etc/squid/proibidos.txt"
http_access deny proibidos !total

acl msnmessenger url_regex -i /gateway/gateway.dll http_access deny msnmessenger !total

acl palavras url_regex -i "/etc/squid/palavras"
http_access deny palavras !total


#acl para liberar o programa da Caixa
acl Safe_ports port 2631

http_access deny exe !excecoes
http_access deny zip !excecoes
http_access deny rar !excecoes
http_access deny scr !excecoes
http_access deny msi !excecoes
http_access deny wmv !excecoes
http_access deny pif !excecoes
http_access deny avi !excecoes

# liberados tudo
acl total proxy_auth -i "/etc/squid/acetotal"
http_access allow total

#Primeiramente Liberar a Rede para Total
#http_access allow total

#Negar Password Para Proibidos nas Excessôes
http_access deny password excecoes !proibido

#Libera Acesso geral para Proibidos
#http_access allow password proibido !excecoes

#Negar Password de restrito exceto para Total
http_access deny password restrito !total


#Permitir Acesso para Excecoes
http_access allow password excecoes

#Liberar a Rede para o Total
http_access allow total

#Liberar a Rede para o Safe
http_access allow Safe_ports

#Liberar Rede para RedeLocal
http_access allow redelocal


#Liberar a Rede para o Ctb
#http_access allow ctb

#Liberar a Rede para o fsc
#http_access allow fsc

#Liberar a Rede para o Dp
#http_access allow dp

#Liberar a Rede para o diretoria
#http_access allow diretoria

#Negar Tudo que nao passar por estas restrições
http_access deny all

#######################
# PROXY TRANSPARENTE ##
#######################

#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

#######################
## FIM DO SQUID.CONF ##
#######################

Rc.Firewall

#!/bin/bash
#
#
#
# Variáveis
# -------------------------------------------------------
IF_EXTERNA=eth0
IF_INTERNA=eth1


# Ativa módulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE


# Ativa roteamento no kernel
# -------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward


# Proteção contra IP spoofing
# -------------------------------------------------------
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter


# Zera regras
# -------------------------------------------------------
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle


# Determina a política padrão
# -------------------------------------------------------
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


#################################################
# Tabela FILTER
#################################################


# Dropa pacotes TCP indesejáveis
# -------------------------------------------------------
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-level 6 --log-prefix "FIREWALL:
NEW sem syn: "
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP


# Dropa pacotes mal formados
# -------------------------------------------------------
iptables -A INPUT -i $IF_EXTERNA -m unclean -j LOG --log-level 6 --log-prefix "FIREWALL: pacote mal
formado: "
iptables -A INPUT -i $IF_EXTERNA -m unclean -j DROP


# Aceita os pacotes que realmente devem entrar # -------------------------------------------------------
iptables -A INPUT -i ! $IF_EXTERNA -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


# Proteção contra trinoo
# -------------------------------------------------------
iptables -N TRINOO
iptables -A TRINOO -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trinoo: "
iptables -A TRINOO -j DROP
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27444 -j TRINOO iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 27665 -j TRINOO iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 31335 -j TRINOO iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 34555 -j TRINOO iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 35555 -j TRINOO


# Proteção contra tronjans
# -------------------------------------------------------
iptables -N TROJAN
iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: trojan: "
iptables -A TROJAN -j DROP
iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 666 -j TROJAN iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 4000 -j TROJAN iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6000 -j TROJAN iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 6006 -j TROJAN iptables -A INPUT -p TCP -i $IF_EXTERNA --dport 16660 -j TROJAN


# Proteção contra worms
# -------------------------------------------------------
iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNA -j REJECT


# Proteção contra syn-flood
# -------------------------------------------------------
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT


# Proteção contra ping da morte
# -------------------------------------------------------
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


# Proteção contra port scanners
# -------------------------------------------------------
iptables -N SCANNER
iptables -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: port scanner:
"
iptables -A SCANNER -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $IF_EXTERNA -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL NONE -i $IF_EXTERNA -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL ALL -i $IF_EXTERNA -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $IF_EXTERNA -j SCANNER iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $IF_EXTERNA -j SCANNER iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $IF_EXTERNA -j SCANNER iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $IF_EXTERNA -j SCANNER


# Loga tentativa de acesso a determinadas portas # -------------------------------------------------------
iptables -A INPUT -p tcp --dport 21 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL: ftp:
"
iptables -A INPUT -p tcp --dport 23 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
telnet: "
iptables -A INPUT -p tcp --dport 25 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
smtp: "
iptables -A INPUT -p tcp --dport 80 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
http: "
iptables -A INPUT -p tcp --dport 110 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
pop3: "
iptables -A INPUT -p udp --dport 111 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
rpc: "
iptables -A INPUT -p tcp --dport 113 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
identd: "
iptables -A INPUT -p tcp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
samba: "
iptables -A INPUT -p udp --dport 137:139 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
samba: "
iptables -A INPUT -p tcp --dport 161:162 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
snmp: "
iptables -A INPUT -p tcp --dport 6667:6668 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix
"FIREWALL: irc: "
iptables -A INPUT -p tcp --dport 3128 -i $IF_EXTERNA -j LOG --log-level 6 --log-prefix "FIREWALL:
squid: "


# Libera acesso externo a determinadas portas # -------------------------------------------------------
iptables -A INPUT -p tcp --dport 22 -i $IF_EXTERNA -j ACCEPT

#Bloqueio do Orkut
#iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP #iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP #iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP #iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP # #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 25 -j ACCEPT #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 110 -j ACCEPT #iptables -A FORWARD -s 10.0.0.0/24 -p udp --dport 53 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -p icmp -j ACCEPT

# Liberando tudo para o Diretor
iptables -A FORWARD -s 192.168.0.20 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j ACCEPT

# Bloqueando acessos suspeitos
iptables -A FORWARD -d 212.211.132.32 -p tcp --dport 80 -j DROP iptables -A FORWARD -d 199.239.233.9 -p tcp --dport 80 -j DROP iptables -A FORWARD -d 209.8.40.140 -p tcp --dport 80 -j DROP iptables -A FORWARD -d 209.59.139.38 -p tcp --dport 80 -j DROP iptables -A FORWARD -d 66.7.200.245 -p tcp --dport -j DROP iptables -A FORWARD -d 66.150.14.24 -p tcp --dport 80 -j DROP iptables -A FORWARD -d 208.111.159.15 -p tcp --dport 80 -j DROP

#Bloqueio do Msn
#for i in `cat /etc/sem_msn.lst`
#do
# iptables -A FORWARD -s $i -p tcp --dport 1863 -j REJECT
# iptables -A FORWARD -s $i -d loginnet.passport.com -j REJECT
#done

# Libera acesso de smtp para fora apenas para o IP XXX.XXX.XXX.XXX # -------------------------------------------------------
#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j LOG --log-level 6 --log-prefix
"FIREWALL: SMTP proibido: "
#$iptables -A FORWARD -p tcp -d ! XXX.XXX.XXX.XXX --dport 25 -j REJECT


#################################################
# Tabela NAT
#################################################


# Ativa mascaramento de saída
# -------------------------------------------------------
iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE


# Proxy transparente
# -------------------------------------------------------
iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i $IF_INTERNA -p tcp --dport 8080 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Redireciona portas para outros servidores # -------------------------------------------------------
#$iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.1


# Redireciona portas na própria máquina
# -------------------------------------------------------
#$iptables -A PREROUTING -t nat -d 192.168.0.1 -p tcp --dport 5922 -j REDIRECT --to-ports 22