Squid3 Parando

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 11:29h

Bom dia pessoal,

Estou com um problema chato no meu Squid3, a algum tempo ele rodava normalmente e de uns dias pra cá ele esta parando;
é o seguinte ele não abre todos os sites e percebi que somente alguns sites seguros roda normalmente, já em outros como UOL e uma eternidade para abrir e o Google e outros nem abre.

Tenho uma configuração básica do meu squid3 que estava rodando bem.

# REGRAS DO SQUID
#
# Squid normally listens to port 3128
http_port 3128
visible_hostname WEBPROXY


acl localhost src 192.168.2.0/255.255.255.0 #rede local
acl localnet src 192.168.1.1 #link acesso
acl localnet src 192.168.2.5 #ip_computador

# bloqueados por palavras chave
acl blacklist url_regex -i "/etc/squid3/blacklist"
http_access deny blacklist

acl SSL_ports port 443
acl safe_ports port 587 # mail-outlook
acl safe_ports port 110 # mail-outlook
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#delegando as permissoes e acessos
http_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all

cache_mem 256 MB
maximum_object_size_in_memory 512 MB
minimum_object_size 256 KB
maximum_object_size 512 KB
cache_swap_low 75
cache_swap_high 78

#dns_nameservers 8.8.8.8

access_log /var/log/squid3/access.log squid
cache_dir ufs /var/spool/squid3 2048 16 256
cache_log /var/log/squid3/cache.log
coredump_dir /var/spool/squid3

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

Buckminster
(usa Debian)

Enviado em 13/04/2016 - 11:45h

Qual é a versão?

# squid3 -v

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 13:06h

3.3.8 Amigo rodando squid3 dentro do Ubuntu

arasouza
(usa Debian)

Enviado em 13/04/2016 - 14:18h

Cara o seguinte: altera esta linha inicialmente:
acl localhost src 192.168.2.0/255.255.255.0 #rede local para acl localhost src 192.168.2.0/24 #rede local (padrão cidr)

Cara é batata os sites HTTPS, não passam pelo proxy,. por isso abre normalmente, teu proxy tá bichado, faz o seguinte:
1 - desativa todos os bloqueios e testa para ver se navega novamente.
2 - para o squid, remove a pasta do cache: rm -fr /var/spool/squid3/*.*, dar um squid3 -v para criar a estrutura de novo, reiniciar o servico e testa a navegação.
3 - Dar uma olhada no log tail -f /var/log/access.log vê a msg que dá quando vc tenta abrir o site do uol.

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 14:39h

Vou testar agora

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 15:04h

Então acabei de fazer tirei a blacklist, mudei os parametros que me pediu e nada.

alguns sites funcionam, o site da uol demora pra dar carga mas passa carrega, já o Google não carrega nada .
1460570360.313 60977 192.168.2.11 TCP_MISS/503 0 CONNECT tm.uol.com.br:443 - HIER_NONE/- -
1460570372.696 61302 192.168.2.11 TCP_MISS/503 0 CONNECT www.google.com.br:443 - HIER_NONE/- -
1460570405.948 61526 192.168.2.11 TCP_MISS/503 0 CONNECT www.google.com.br:443 - HIER_NONE/- -

arasouza
(usa Debian)

Enviado em 13/04/2016 - 16:05h

Ok, Mandrak, vc excluiu o cache?

Se excluiu, provavelmente você está redirecionando seu trafego para a porta do squid correto? redirect para a porta 80 -> 3128, certo?
vamos verificar isso, e também retire a passagem dos dados do proxy, vamos excluir algum problema no servidor, pare a interceptação do trafego http/https para o proxy, veja como fica a navegação, se precisar de ajuda nisso avise.

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 16:17h

Opa vou precisar sim, sou novo com squid se poder me ajudar nisso tbm agradeço.

Buckminster
(usa Debian)

Enviado em 13/04/2016 - 16:31h

Essas ACLs

acl localhost src 192.168.2.0/255.255.255.0 #rede local
acl localnet src 192.168.1.1 #link acesso
acl localnet src 192.168.2.5 #ip_computador

deixe assim

acl rede_local src 192.168.2.0/24 #rede local
acl acesso src 192.168.1.1 #link acesso
acl computador src 192.168.2.5 #ip_computador

Essa parte

#delegando as permissoes e acessos
http_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all

deixe assim

#delegando as permissoes e acessos
http_access allow rede_local
http_access allow acesso
http_access allow computador
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all

E verifique as palavras que tem dentro do arquivo

/etc/squid3/blacklist

Faça as alterações, reinicie o Squid e teste.

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 16:51h

A mesmas coisas alguns sites abrem bem rápido outros demoram muito pra dar carga mais abrem e o Google não abre de jeito nenhum.

veja o meu firewall Iptables

#!/bin/sh

echo 'script de compartilhamento da internet'

# Carrega os módulos
modprobe iptables
modprobe iptable_nat

# Compartilha a conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

# protege contra pacotes danificados (usados em ataques DoS por exemplo) é:
# iptables -A FORWARD -m unclean -j DROP



# Redireciona para SQUID - Aqui eu travei essas duas linhas pq o squid nao estava rodando bem na rede então liberei pelo Iptables
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128


# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT

#Liberando Outlook
iptables -A FORWARD -p udp -s 192.168.2.5 -d 208.67.222.222 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 208.67.222.222 --sport 53 -d 192.168.2.5 -j ACCEPT

# Liberando portas outlook
iptables -A FORWARD -p TCP -s 192.168.2.5 --dport 587 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.5 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 587 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

#fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

# REGRAS DO SQUID
#
# Squid normally listens to port 3128
http_port 3128
visible_hostname WEBPROXY


acl rede_local src 192.168.2.0/24 #rede local
acl acesso src 192.168.1.1 #link acesso
acl computador src 192.168.2.5 #ip_computador

acl SSL_ports port 443
acl safe_ports port 587 # mail-outlook
acl safe_ports port 110 # mail-outlook
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#delegando as permissoes e acessos
http_access allow rede_local
http_access allow acesso
http_access allow computador
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny all

cache_mem 1024 MB
maximum_object_size_in_memory 512 MB
minimum_object_size 0 KB
maximum_object_size 512 KB
cache_swap_low 90
cache_swap_high 95

cache_dir aufs /var/spool/squid3 2048 16 256
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
coredump_dir /etc/squid3/var/cache/squid


refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

Buckminster
(usa Debian)

Enviado em 13/04/2016 - 16:54h

Descomente essa linha

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Reinicie a máquina e teste.

Os testes no navegador tu faz no próprio servidor ou em uma máquina da rede?

Tu está configurando o proxy nos navegadores?

Mandrack
(usa Debian)

Enviado em 13/04/2016 - 17:09h

Então descomentei e continua a mesma coisa..
sim eu faço teste em um terminal e esta configurado o proxy no navegador.
O estranho que antes funcionava normalmente não sei o que houve que piorou, ja tentei adicionar o dns do google e do opendns e nada, hoje instalei do zero em um terminal qualquer o squid e funcionou por 30 minutos tudo rodando blz passando todos os sites e depois de o mesmo problema do servidor. :S