Autor Tópico: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente (resolvido)  (Lida 14712 vezes)

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente (resolvido)
« Online: 29 de Dezembro de 2011, 16:12 »
Boa tarde senhores.

Estou com o seguinte problema: Ao configurar o trio Dhcp + Iptables + Squid Transpatente, tento acessar alguma pagina no pc do usuario e ele funciona rapidinho, inclusive bloqueando urls. Porém depois do 3 ou 4 acessos, o usuario pára de acessar quaisquer paginas e o navegador simplesmente informa "falha no carregamento - servidor não encontrado" - como se nao tivesse mais conectividade (pensei até algo como o DNS, mas por que funciona no inicio e depois pára?).

Bom, nos clientes não tem nada configurado. Os IPs sao liberados via DHCP do servidor.

O servidor é o dhcp/gateway/firewall da rede.

Detalhe, mesmo com os usuarios nao tendo acesso à internet, quando testo o squidclient no servidor, aparentemente o squid está funcionando, pois retorna a liberação ou bloqueio de paginas.

Tentei adicionar alguns IP do servidor e do DNS nos clientes mas não obtive sucesso, ou fiz algo errado.  ???

Algumas configurações

squid:
Código: [Selecionar]
http_port 3128 transparent
visible_hostname linuxs

debug_options ALL,1 33,2

cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 100 MB
minimum_object_size 2 KB
cache_dir ufs /var/spool/squid 4096 16 32
cache_swap_low 85
cache_swap_high 90
cache_access_log /var/log/squid/access.log
error_directory /usr/share/squid/errors/Portuguese/

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

e ACL's ...

iptables:
Código: [Selecionar]
#REDE="192.168.1.0/24"
#IF_EXTERNA="eth2"
#IF_INTERNA="eth1"

modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ip_queue

# Zera regras
# -------------------------------------------------------
iptables -F
iptables -F -t nat
iptables -F -t mangle

# Determina a política padrão
# -------------------------------------------------------
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# -------------------------------------------------------
# Ativa roteamento no kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Proteção contra IP spoofing
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
 
# Protege contra synflood:  
echo 1 > /proc/sys/net/ipv4/tcp_syncookies  
 
# Proteção contra ICMP Broadcasting:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# -------------------------------------------------------
 
# Accept - Regras
# -------------------------------------------------------

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT

# Limite contra ping da morte e DoS
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP

# bloqueia conexão nas demais portas, protegendo o servidor.
iptables -A INPUT -p tcp --syn -j DROP

# Qualquer outra conexão desconhecida é imediatamente registrada e derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j ACCEPT

# Proxy transparente
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Ativa mascaramento de saída
iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -j MASQUERADE

# LOG
iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

iptables-save

ufw
Código: [Selecionar]
sudo ufw status
Estado: inativo

sudo iptables -L -v -n
Código: [Selecionar]
sudo iptables -L -v -n
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
  200 92474 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    3   180 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
   74  6879 ACCEPT     all  --  eth1   *       192.168.1.0/24       0.0.0.0/0          
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5
    9  2821 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 5/min burst 5 LOG flags 0 level 7 prefix `iptables denied: '
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 0 limit: avg 1/sec burst 5
   11   528 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x17/0x02
   86 14486 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `FIREWALL: INPUT '
   86 14486 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0          

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
  473  214K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
  294 12708 ACCEPT     all  --  eth1   *       192.168.1.0/24       0.0.0.0/0          

Chain OUTPUT (policy ACCEPT 336 packets, 85358 bytes)
 pkts bytes target     prot opt in     out     source               destination        

sudo iptables -t nat -L -v -n
Código: [Selecionar]
sudo iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 90 packets, 12438 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   26  1312 REDIRECT   tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain OUTPUT (policy ACCEPT 22 packets, 1762 bytes)
 pkts bytes target     prot opt in     out     source               destination        

Chain POSTROUTING (policy ACCEPT 21 packets, 1359 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   45  3111 MASQUERADE  all  --  *      *       192.168.1.0/24       0.0.0.0/0          

últimas linhas do CACHE.log
Código: [Selecionar]
CACHE.LOG

2011/12/29 14:46:06| The request GET http://www.sexo.com.br is DENIED, because it matched 'palavrasproibidas'
2011/12/29 14:46:06| The reply for GET http://www.sexo.com.br is ALLOWED, because it matched 'palavrasproibidas'
2011/12/29 14:46:18| [b]Preparing for shutdown after 13 requests[/b]
2011/12/29 14:46:18| Waiting 30 seconds for active connections to finish
2011/12/29 14:46:18| FD 14 Closing HTTP connection
2011/12/29 14:47:04| Starting Squid Cache version 2.7.STABLE7 for i386-debian-linux-gnu...
2011/12/29 14:47:04| Process ID 1051
2011/12/29 14:47:04| With 1024 file descriptors available
2011/12/29 14:47:04| Using epoll for the IO loop
2011/12/29 14:47:04| DNS Socket created at 0.0.0.0, port 43628, FD 6
2011/12/29 14:47:04| Adding nameserver from /etc/resolv.conf
2011/12/29 14:47:04| User-Agent logging is disabled.
2011/12/29 14:47:04| Referer logging is disabled.
2011/12/29 14:47:04| logfileOpen: opening log /var/log/squid/access.log
2011/12/29 14:47:04| Unlinkd pipe opened on FD 12
2011/12/29 14:47:04| Swap maxSize 4194304 + 131072 KB, estimated 332721 objects
2011/12/29 14:47:04| Target number of buckets: 16636
2011/12/29 14:47:04| Using 32768 Store buckets
2011/12/29 14:47:04| Max Mem  size: 131072 KB
2011/12/29 14:47:04| Max Swap size: 4194304 KB
2011/12/29 14:47:04| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2011/12/29 14:47:04| logfileOpen: opening log /var/log/squid/store.log
2011/12/29 14:47:04| Rebuilding storage in /var/spool/squid (DIRTY)
2011/12/29 14:47:04| Using Least Load store dir selection
2011/12/29 14:47:04| Current Directory is /
2011/12/29 14:47:04| Loaded Icons.
2011/12/29 14:47:05| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 14.
2011/12/29 14:47:05| Accepting ICP messages at 0.0.0.0, port 3130, FD 15.
2011/12/29 14:47:05| HTCP Disabled.
2011/12/29 14:47:05| WCCP Disabled.
2011/12/29 14:47:05| Ready to serve requests.
2011/12/29 14:47:05| Done reading /var/spool/squid swaplog (200 entries)
2011/12/29 14:47:05| Finished rebuilding storage from disk.
2011/12/29 14:47:05|       200 Entries scanned
2011/12/29 14:47:05|         0 Invalid entries.
2011/12/29 14:47:05|         0 With invalid flags.
2011/12/29 14:47:05|       200 Objects loaded.
2011/12/29 14:47:05|         0 Objects expired.
2011/12/29 14:47:05|         0 Objects cancelled.
2011/12/29 14:47:05|         0 Duplicate URLs purged.
2011/12/29 14:47:05|         0 Swapfile clashes avoided.
2011/12/29 14:47:05|   Took 0.3 seconds ( 645.8 objects/sec).
2011/12/29 14:47:05| Beginning Validation Procedure
2011/12/29 14:47:05|   Completed Validation Procedure
2011/12/29 14:47:05|   Validated 200 Entries
2011/12/29 14:47:05|   store_swap_size = 2912k
2011/12/29 14:47:05| storeLateRelease: released 0 objects

Qualquer ajuda será bem-vinda.
Obrigado.
« Última modificação: 17 de Janeiro de 2012, 16:59 por rafaelomago »

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #1 Online: 29 de Dezembro de 2011, 16:40 »
Todos os usuários param de acessar ao mesmo tempo, ou cada um de cada vez?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #2 Online: 29 de Dezembro de 2011, 16:51 »
Todos os usuários param de acessar ao mesmo tempo, ou cada um de cada vez?
Como posso ter certeza?

Acredito que todos de ao mesmo tempo.

Editado: Quando o primeiro PC pára de acessar, todos páram também. Ninguem fica navegando sozinho ou por um tempo depois que dá o "erro" no servidor...

abs
« Última modificação: 29 de Dezembro de 2011, 17:19 por rafaelomago »

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #3 Online: 29 de Dezembro de 2011, 21:32 »
Ah.

Alguma mensagem em especial no log do squid (/var/log/squid/access.log e /var/log/squid/cache.log) ou no log do sistema (/var/log/syslog e /var/log/syslog), na hora em que o serviço para de funcionar?

Se vc desativa o proxy, nessa hora, consegue acessar a internet?

Ou, por outro lado, vc usa proxy transparente. Se vc configura o proxy no navegador, o problema ocorre?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #4 Online: 30 de Dezembro de 2011, 10:12 »
Ou, por outro lado, vc usa proxy transparente. Se vc configura o proxy no navegador, o problema ocorre?
Sim. Ocorre tanto no transparente como configurando no navegador.

Se vc desativa o proxy, nessa hora, consegue acessar a internet?
Voce fala desativando o redirecionando no iptables? Se for, sim. Comentando a linha do PREROUTING, os clientes acessam a web sem problemas.

Alguma mensagem em especial no log do squid (/var/log/squid/access.log e /var/log/squid/cache.log) ou no log do sistema (/var/log/syslog e /var/log/syslog), na hora em que o serviço para de funcionar?

Não consegui identificar nada, mas seguem as ultimas linhas dos logs:

SYSLOG

Código: [Selecionar]
DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=905 DF PROTO=TCP SPT=80 DPT=41048 WINDOW=444 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:50 linuxs kernel: [   56.964505] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=200.216.8.26 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=55539 DF PROTO=TCP SPT=80 DPT=49889 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:50 linuxs kernel: [   57.340734] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.234.86 DST=200.238.115.115 LEN=92 TOS=0x00 PREC=0x00 TTL=53 ID=15808 PROTO=TCP SPT=443 DPT=49927 WINDOW=365 RES=0x00 ACK PSH URGP=0
Dec 30 08:43:50 linuxs kernel: [   57.802736] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=200.216.8.8 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=906 DF PROTO=TCP SPT=80 DPT=41048 WINDOW=444 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:50 linuxs kernel: [   57.876888] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=200.216.8.26 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=55827 DF PROTO=TCP SPT=80 DPT=49882 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:51 linuxs kernel: [   58.137431] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=200.216.8.26 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=55540 DF PROTO=TCP SPT=80 DPT=49889 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:52 linuxs kernel: [   58.962700] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=50.17.218.69 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=4277 DF PROTO=TCP SPT=80 DPT=50140 WINDOW=23 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:52 linuxs kernel: [   59.043570] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=69.171.227.40 DST=200.238.115.115 LEN=270 TOS=0x00 PREC=0x00 TTL=82 ID=26857 DF PROTO=TCP SPT=80 DPT=49821 WINDOW=91 RES=0x00 ACK PSH URGP=0
Dec 30 08:43:52 linuxs kernel: [   59.716461] iptables 30-12 denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=69.171.227.40 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=82 ID=7294 DF PROTO=TCP SPT=80 DPT=49820 WINDOW=78 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:52 linuxs kernel: [   59.716499] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=69.171.227.40 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=82 ID=7294 DF PROTO=TCP SPT=80 DPT=49820 WINDOW=78 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:53 linuxs kernel: [   59.956761] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=173.203.21.106 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=2249 DF PROTO=TCP SPT=80 DPT=49793 WINDOW=206 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:53 linuxs kernel: [   59.975106] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=23.15.8.51 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=57884 DF PROTO=TCP SPT=80 DPT=49933 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:53 linuxs kernel: [   60.457954] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=23.15.8.51 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=57885 DF PROTO=TCP SPT=80 DPT=49933 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:53 linuxs kernel: [   60.906267] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=173.203.21.106 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=2250 DF PROTO=TCP SPT=80 DPT=49793 WINDOW=206 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:54 linuxs kernel: [   61.433341] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=23.15.8.51 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=57886 DF PROTO=TCP SPT=80 DPT=49933 WINDOW=216 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:54 linuxs kernel: [   61.699864] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=184.169.73.33 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=7943 DF PROTO=TCP SPT=80 DPT=46929 WINDOW=85 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:55 linuxs kernel: [   62.707194] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.234.72 DST=200.238.115.115 LEN=72 TOS=0x00 PREC=0x00 TTL=50 ID=11551 PROTO=TCP SPT=80 DPT=49580 WINDOW=1002 RES=0x00 ACK PSH URGP=0
Dec 30 08:43:55 linuxs kernel: [   62.800549] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=173.203.21.106 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=2251 DF PROTO=TCP SPT=80 DPT=49793 WINDOW=206 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:56 linuxs kernel: [   63.681349] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=217.110.97.198 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=3930 PROTO=TCP SPT=80 DPT=49912 WINDOW=98 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:59 linuxs kernel: [   66.593376] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=173.203.21.106 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=2252 DF PROTO=TCP SPT=80 DPT=49793 WINDOW=206 RES=0x00 ACK FIN URGP=0
Dec 30 08:43:59 linuxs kernel: [   66.708061] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=107.20.169.152 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=43 ID=62969 DF PROTO=TCP SPT=80 DPT=50111 WINDOW=29 RES=0x00 ACK FIN URGP=0
Dec 30 08:44:00 linuxs kernel: [   67.340029] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.234.86 DST=200.238.115.115 LEN=92 TOS=0x00 PREC=0x00 TTL=53 ID=15810 PROTO=TCP SPT=443 DPT=49927 WINDOW=365 RES=0x00 ACK PSH URGP=0
Dec 30 08:44:04 linuxs kernel: [   71.101209] iptables 30-12 denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=85.119.90.250 DST=200.238.115.115 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=13180 DF PROTO=TCP SPT=2935 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0
Dec 30 08:44:05 linuxs kernel: [   72.705785] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.234.72 DST=200.238.115.115 LEN=72 TOS=0x00 PREC=0x00 TTL=50 ID=11552 PROTO=TCP SPT=80 DPT=49580 WINDOW=1002 RES=0x00 ACK PSH URGP=0
Dec 30 08:44:06 linuxs kernel: [   73.850966] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=205.251.223.181 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=19929 DF PROTO=TCP SPT=80 DPT=49738 WINDOW=56 RES=0x00 ACK FIN URGP=0
Dec 30 08:44:07 linuxs kernel: [   74.176610] FIREWALL 30-12: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=173.203.21.106 DST=200.238.115.115 LEN=40 TOS=0x00 PREC=0x00 TTL=47 ID=2253 DF PROTO=TCP SPT=80 DPT=49793 WINDOW=206 RES=0x00 ACK FIN URGP=0

CACHE.LOG
Código: [Selecionar]
2011/12/30 08:43:20| The request GET http://www.google-analytics.com/__utm.gif?utmwv=4.3as&utmn=1103022161&utmhn=ppstaticcdn.mentez.com&utmcs=UTF-8&utmsr=1366x768&utmsc=24-bit&utmul=pt-br&utmje=0&utmfl=10.1%20r102&utmhid=603790984&utmr=http://www.orkut.com.br/Main&utmp=vipvip/SalesShop/foodShop/3&utmac=UA-16208419-27&utmcn=1&utmcc=__utma%3D55716202.3914013025838646300.1318870544.1325245252.1325245252.551%3B%2B__utmz%3D55716202.1325245252.551.551.utmcsr%3Dorkut.com.br%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2Fmain%3B is ALLOWED, because it matched 'redelocal'
2011/12/30 08:43:20| The reply for GET http://www.google-analytics.com/__utm.gif?utmwv=4.3as&utmn=1103022161&utmhn=ppstaticcdn.mentez.com&utmcs=UTF-8&utmsr=1366x768&utmsc=24-bit&utmul=pt-br&utmje=0&utmfl=10.1%20r102&utmhid=603790984&utmr=http://www.orkut.com.br/Main&utmp=vipvip/SalesShop/foodShop/3&utmac=UA-16208419-27&utmcn=1&utmcc=__utma%3D55716202.3914013025838646300.1318870544.1325245252.1325245252.551%3B%2B__utmz%3D55716202.1325245252.551.551.utmcsr%3Dorkut.com.br%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2Fmain%3B is ALLOWED, because it matched 'downloads'
2011/12/30 08:43:20| The reply for GET http://www.google-analytics.com/__utm.gif?utmwv=4.3as&utmn=899468096&utmhn=ppstaticcdn.mentez.com&utmcs=UTF-8&utmsr=1366x768&utmsc=24-bit&utmul=pt-br&utmje=0&utmfl=10.1%20r102&utmhid=603790984&utmr=http://www.orkut.com.br/Main&utmp=/SalesShop/foodShop/3&utmac=UA-16208419-12&utmcn=1&utmcc=__utma%3D55716202.3914013025838646300.1318870544.1325165917.1325245252.550%3B%2B__utmz%3D55716202.1325245252.550.550.utmcsr%3Dorkut.com.br%7Cutmccn%3D(referral)%7Cutmcmd%3Dreferral%7Cutmcct%3D%2Fmain%3B is ALLOWED, because it matched 'downloads'
2011/12/30 08:43:24| The request GET http://itweb.com.br/ is ALLOWED, because it matched 'redelocal'
2011/12/30 08:43:25| The reply for GET http://itweb.com.br/ is ALLOWED, because it matched 'downloads'
2011/12/30 08:44:10| The reply for POST http://sn1msg1010513.gateway.messenger.live.com/gateway/gateway.dll?Action=poll&Lifespan=60&SessionID=1641817557.2067135896 is ALLOWED, because it matched 'downloads'

ACCESS.LOG
Código: [Selecionar]
1325245396.049   1164 192.168.1.151 TCP_MISS/200 1632 GET http://googleads.g.doubleclick.net/pagead/ads? - DIRECT/74.125.234.89 text/javascript
1325245396.124   2765 192.168.1.170 TCP_MISS/200 611 GET http://platform.twitter.com/widgets/images/t.gif? - DIRECT/184.28.3.55 image/gif
1325245396.133   2795 192.168.1.170 TCP_MISS/200 611 GET http://platform.twitter.com/widgets/images/t.gif? - DIRECT/184.28.3.55 image/gif
1325245396.327   1030 192.168.1.170 TCP_MISS/302 633 GET http://www.facebook.com/dialog/oauth? - DIRECT/69.63.190.22 text/html
1325245396.511   1975 192.168.1.153 TCP_MISS/200 1096 POST http://www.facebook.com/ajax/chat/buddy_list.php? - DIRECT/69.63.190.22 application/x-javascript
1325245396.516   3060 192.168.1.170 TCP_MISS/200 604 GET http://cdn.api.twitter.com/1/urls/count.json? - DIRECT/184.28.3.55 application/json
1325245396.591    972 192.168.1.151 TCP_MISS/200 9145 GET http://s.glbimg.com/et/nv/f/140x90/2011/10/18/grazi_.jpg - DIRECT/186.192.82.11 image/jpeg
1325245396.665    973 192.168.1.151 TCP_MISS/200 8580 GET http://s.glbimg.com/et/nv/f/140x90/2011/12/21/cynthia_falabella.jpg - DIRECT/186.192.82.11 image/jpeg
1325245396.719    907 192.168.1.151 TCP_MISS/200 5823 GET http://s.glbimg.com/et/nv/f/140x90/2011/12/23/ricardo-pereira.jpg - DIRECT/186.192.82.11 image/jpeg
1325245396.805   5301 192.168.1.153 TCP_MISS/200 118653 GET http://a248.e.akamai.net/f/248/117341/0d/media.buybuy.com.br/mkt/netlet/reminder/2011/dezembro/24_fem_reminder.jpg - DIRECT/200.216.8.88 image/jpeg
1325245396.850    742 192.168.1.151 TCP_MISS/200 5841 GET http://ad.doubleclick.net/adj/N6996.944.GLOBO.COM/B5662986.101;sz=300x100;ord=%5Btimestamp%5D? - DIRECT/74.125.234.91 application/x-javascript
1325245397.041   1752 192.168.1.170 TCP_MISS/200 1572 GET http://mediacdn.disqus.com/uploads/users/441/7843/avatar32.jpg? - DIRECT/200.216.8.90 image/jpeg
1325245397.045   1040 192.168.1.123 TCP_MISS/200 518 POST http://okpet.mentez.com/api.php? - DIRECT/173.203.21.106 application/json
1325245397.103   1615 192.168.1.137 TCP_MISS/200 1113 POST http://tools.google.com/service/update2? - DIRECT/74.125.234.75 text/xml
1325245397.183     68 192.168.1.123 TCP_MISS/200 527 GET http://www.google-analytics.com/__utm.gif? - DIRECT/74.125.234.73 image/gif
1325245397.208     92 192.168.1.123 TCP_MISS/200 527 GET http://www.google-analytics.com/__utm.gif? - DIRECT/74.125.234.70 image/gif
1325245397.344    676 192.168.1.170 TCP_MISS/200 905 GET http://de.realmedianetwork.net/RealMedia/ads/adstream_mjx.ads/itweb/home/1253354788@x01,x02 - DIRECT/50.97.144.177 application/x-javascript
1325245400.426     72 192.168.1.123 TCP_MISS/200 527 GET http://www.google-analytics.com/__utm.gif? - DIRECT/74.125.234.73 image/gif
1325245400.429     76 192.168.1.123 TCP_MISS/200 527 GET http://www.google-analytics.com/__utm.gif? - DIRECT/74.125.234.70 image/gif
1325245415.583  27714 192.168.1.123 TCP_MISS/200 484 GET http://talkgadget.google.com/talkgadget/channel/bind? - DIRECT/74.125.234.67 text/plain
1325245450.415  61620 192.168.1.153 TCP_MISS/200 400 POST http://sn1msg1010513.gateway.messenger.live.com/gateway/gateway.dll? - DIRECT/65.54.48.37 text/html

Fiz um teste no iptables colocando todas as politicas como ACCEPT e mesmo assim ocorreu o mesmo problema.

Será que é melhor desisntalar e reinstalar o squid?  :P
E não estou usando servidor dns (bind, por exemplo).

Abs
Rafael
O linux é lindo, desde que tudo funcione de primeira... kkk

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #5 Online: 30 de Dezembro de 2011, 11:49 »
Acho que matei seu problema: falta de descritores de arquivos.

Edite o arquivo /etc/init.d/squid, e adicione a linha abaixo antes da chamada do processo squid.

ulimit -n 4096

Depois edite o arquivo /etc/squid/squid.conf, adicione a linha abaixo.

max_filedesc 4096

Reinicie o servidor, a linha do arquivo /var/log/squid/cache.log que agora aparece como "2011/12/29 14:47:04| With 1024 file descriptors available" deve mudar para "With 4096 file descriptors available".

Outra coisa, considere instalar o Squid3 nessa máquina, é uma versão bem mais nova, e tem vários recursos melhores.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #6 Online: 02 de Janeiro de 2012, 09:44 »
Irei testar no horario do almoço.

obg

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #7 Online: 03 de Janeiro de 2012, 23:04 »
Acho que matei seu problema: falta de descritores de arquivos.

Edite o arquivo /etc/init.d/squid, e adicione a linha abaixo antes da chamada do processo squid.

ulimit -n 4096

Depois edite o arquivo /etc/squid/squid.conf, adicione a linha abaixo.

max_filedesc 4096

Reinicie o servidor, a linha do arquivo /var/log/squid/cache.log que agora aparece como "2011/12/29 14:47:04| With 1024 file descriptors available" deve mudar para "With 4096 file descriptors available".

Fiz isso, porém não consegui acessar uma pagina se quer. Parece que piorou.
De toda forma, como voce sugeriu, como estava começando do zero, resolvi desinstalar o squi2.7 e instalar o squid3.

Outra coisa, considere instalar o Squid3 nessa máquina, é uma versão bem mais nova, e tem vários recursos melhores.

Foi o que fiz. Instalei o SQUID3.0.STABLE19

Porém a mesma situação continua!  ???
Nossa!...

seguem os novos logs...

................CACHE
Código: [Selecionar]
2012/01/03 21:46:07| Reconfiguring Squid Cache (version 3.0.STABLE19)...
2012/01/03 21:46:07| FD 14 Closing HTTP connection
2012/01/03 21:46:07| Processing Configuration File: /etc/squid3/squid.conf (depth 0)
2012/01/03 21:46:07| Starting Authentication on port 0.0.0.0:14348
2012/01/03 21:46:07| Disabling Authentication on port 0.0.0.0:14348 (interception enabled)
2012/01/03 21:46:07| DNS Socket created at 0.0.0.0, port 60143, FD 10
2012/01/03 21:46:07| Adding nameserver 200.238.99.254 from /etc/resolv.conf
2012/01/03 21:46:07| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 11.
2012/01/03 21:46:07| HTCP Disabled.
2012/01/03 21:46:07| Loaded Icons.
2012/01/03 21:46:07| Ready to serve requests.
2012/01/03 21:46:13| Preparing for shutdown after 0 requests
2012/01/03 21:46:13| Waiting 30 seconds for active connections to finish
2012/01/03 21:46:13| FD 11 Closing HTTP connection
2012/01/03 21:46:44| Shutting down...
2012/01/03 21:46:44| Closing unlinkd pipe on FD 12
2012/01/03 21:46:44| storeDirWriteCleanLogs: Starting...
2012/01/03 21:46:44|   Finished.  Wrote 5 entries.
2012/01/03 21:46:44|   Took 0.00 seconds (13477.09 entries/sec).
CPU Usage: 1.408 seconds = 0.792 user + 0.616 sys
Maximum Resident Size: 77664 KB
Page faults with physical i/o: 0
Memory usage for squid via mallinfo():
total space in arena:    3068 KB
Ordinary blocks:         3006 KB      6 blks
Small blocks:               0 KB      1 blks
Holding blocks:         27564 KB     13 blks
Free Small blocks:          0 KB
Free Ordinary blocks:      61 KB
Total in use:           30570 KB 996%
Total free:                61 KB 2%
2012/01/03 21:46:44| Squid Cache (Version 3.0.STABLE19): Exiting normally.
2012/01/03 21:47:28| Starting Squid Cache version 3.0.STABLE19 for i486-pc-linux-gnu...
2012/01/03 21:47:28| Process ID 1251
2012/01/03 21:47:28| With 65535 file descriptors available
2012/01/03 21:47:28| DNS Socket created at 0.0.0.0, port 45446, FD 7
2012/01/03 21:47:28| Adding nameserver 200.238.99.254 from /etc/resolv.conf
2012/01/03 21:47:28| Unlinkd pipe opened on FD 12
2012/01/03 21:47:28| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2012/01/03 21:47:28| Swap maxSize 4194304 + 131072 KB, estimated 332721 objects
2012/01/03 21:47:28| Target number of buckets: 16636
2012/01/03 21:47:28| Using 32768 Store buckets
2012/01/03 21:47:28| Max Mem  size: 131072 KB
2012/01/03 21:47:28| Max Swap size: 4194304 KB
2012/01/03 21:47:28| Version 1 of swap file with LFS support detected...
2012/01/03 21:47:28| Rebuilding storage in /var/spool/squid3 (CLEAN)
2012/01/03 21:47:28| Using Least Load store dir selection
2012/01/03 21:47:28| Set Current Directory to /var/spool/squid3
2012/01/03 21:47:28| Loaded Icons.
2012/01/03 21:47:28| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 14.
2012/01/03 21:47:28| HTCP Disabled.
2012/01/03 21:47:28| Ready to serve requests.
2012/01/03 21:47:28| Done reading /var/spool/squid3 swaplog (5 entries)
2012/01/03 21:47:28| Finished rebuilding storage from disk.
2012/01/03 21:47:28|         5 Entries scanned
2012/01/03 21:47:28|         0 Invalid entries.
2012/01/03 21:47:28|         0 With invalid flags.
2012/01/03 21:47:28|         5 Objects loaded.
2012/01/03 21:47:28|         0 Objects expired.
2012/01/03 21:47:28|         0 Objects cancelled.
2012/01/03 21:47:28|         0 Duplicate URLs purged.
2012/01/03 21:47:28|         0 Swapfile clashes avoided.
2012/01/03 21:47:28|   Took 0.07 seconds ( 69.54 objects/sec).
2012/01/03 21:47:28| Beginning Validation Procedure
2012/01/03 21:47:28|   Completed Validation Procedure
2012/01/03 21:47:28|   Validated 35 Entries
2012/01/03 21:47:28|   store_swap_size = 92
2012/01/03 21:47:29| storeLateRelease: released 0 objects

................ACCESS
Código: [Selecionar]
1325636960.880    757 192.168.1.170 TCP_MISS/200 27651 GET http://ajax.googleapis.com/ajax/libs/jquery/1.4.4/jquery.min.js - DIRECT/74.125.47.95 text/javascript
1325636961.142    755 192.168.1.170 TCP_MISS/200 20978 GET http://cdn2.rmgserving.com/rmgisc/5106_img-3.jpg - DIRECT/141.8.224.6 image/jpeg
1325636961.248    860 192.168.1.170 TCP_MISS/200 13733 GET http://cdn2.rmgserving.com/rmgisc/5107_img-2.jpg - DIRECT/141.8.224.6 image/jpeg
1325636961.308    165 192.168.1.170 TCP_MISS/200 1740 GET http://cdn2.rmgserving.com/rmgpsc/1055/top-nav-bg.gif - DIRECT/141.8.224.6 image/gif
1325636961.369    388 192.168.1.170 TCP_MISS/200 2136 GET http://cdn2.rmgserving.com/rmgpsc/1055/body-head-img.gif - DIRECT/141.8.224.6 image/gif
1325636961.404    422 192.168.1.170 TCP_MISS/200 4049 GET http://cdn2.rmgserving.com/rmgpsc/1055/star.gif - DIRECT/141.8.224.6 image/gif
1325636961.406    434 192.168.1.170 TCP_MISS/200 403 POST http://www10.sexo.com.br/rg-rlog.php - DIRECT/141.8.224.59 text/html
1325636961.423    441 192.168.1.170 TCP_MISS/200 2027 GET http://cdn2.rmgserving.com/rmgpsc/1055/srch-box.gif - DIRECT/141.8.224.6 image/gif
1325636961.442    193 192.168.1.170 TCP_MISS/200 2460 GET http://cdn2.rmgserving.com/rmgpsc/1055/arrow-bullet.gif - DIRECT/141.8.224.6 image/gif
1325636961.461    316 192.168.1.170 TCP_MISS/304 574 GET http://a0.twimg.com/profile_images/1284053875/Logomarca_alianca_quadrado_normal.jpg - DIRECT/184.169.73.33 image/jpeg
1325636962.567   2179 192.168.1.170 TCP_MISS/200 19645 GET http://cdn2.rmgserving.com/rmgisc/5108_img-1.jpg - DIRECT/141.8.224.6 image/jpeg
1325636972.323    140 192.168.1.170 TCP_MISS/304 574 GET http://a0.twimg.com/profile_images/1148551064/antique-square_normal.jpg - DIRECT/184.169.73.33 image/jpeg
1325638053.652      0 192.168.1.170 TCP_DENIED/403 2371 GET http://www.sexo.com.br/ - NONE/- text/html
1325638057.190    765 192.168.1.170 TCP_MISS/200 29999 GET http://www.google.com/search? - DIRECT/74.125.229.178 text/html
1325638058.556   1266 192.168.1.170 TCP_MISS/200 31214 GET http://www.google.com/extern_js/f/CgVwdC1CUiswRTgALCswWjgALCswDjgALCswFzgALCswPDgALCswUTgALCswWTgALCswCjgAmgICY2MsKzCYATgALCswFjgALCswGTgALCswKjgALCswKzgAmgILanNfcmVkaXJlY3QsKzA1OAAsKzBBOAAsKzBNOAAsKzBOOAAsKzBTOACaAgZzZWFyY2gsKzBUOAAsKzBpOAAsKzCQATgALCswkgE4ACwrMJcBOAAsKzCjATgALCswpwE4ACwrMHQ4ACwrMBg4ACwrMCY4ACyAAmOQAl0/m4ifFXZTGF4.js - DIRECT/74.125.229.179 text/javascript
1325638101.612     30 127.0.0.1 TCP_MISS/302 423 GET http://www.ati.pe.gov.br - DIRECT/200.238.107.80 text/html
1325638109.448    416 127.0.0.1 TCP_DENIED_REPLY/403 1896 GET http://www.youtube.com - DIRECT/74.125.234.74 text/html
1325638118.666    917 127.0.0.1 TCP_DENIED_REPLY/403 1890 GET http://www.sexo.com - DIRECT/46.137.81.221 text/html
1325638126.116   1656 127.0.0.1 TCP_MISS/200 179827 GET http://www.uol.com.br - DIRECT/200.147.67.142 text/html

................SYSLOG
Código: [Selecionar]
Jan  3 21:47:59 linuxs pulseaudio[1666]: pid.c: Daemon already running.
Jan  3 21:48:51 linuxs kernel: [   96.561391] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49797 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:51 linuxs kernel: [   96.561427] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49797 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:52 linuxs kernel: [   97.014161] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49798 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:52 linuxs kernel: [   97.014197] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49798 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:53 linuxs kernel: [   97.884523] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49799 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:53 linuxs kernel: [   97.884560] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49799 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:54 linuxs kernel: [   99.663700] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49800 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:54 linuxs kernel: [   99.663737] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49800 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:58 linuxs kernel: [  103.184891] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49801 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:58 linuxs kernel: [  103.184928] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49801 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:49:04 linuxs AptDaemon: INFO: Initializing daemon
Jan  3 21:49:05 linuxs kernel: [  110.233093] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49802 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:49:05 linuxs kernel: [  110.233111] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49802 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:49:15 linuxs kernel: [  120.244880] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49803 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:49:25 linuxs kernel: [  130.243139] iptables final denied: IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49804 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:49:25 linuxs kernel: [  130.243176] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49804 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0

................MESSAGES
Código: [Selecionar]
Jan  3 21:47:22 linuxs kernel: [    7.517497] atl1c 0000:02:00.0: atl1c: eth1 NIC Link is Up<100 Mbps Full Duplex>
Jan  3 21:47:23 linuxs kernel: [    8.244295] ADDRCONF(NETDEV_UP): eth2: link is not ready
Jan  3 21:47:23 linuxs kernel: [    8.248272] e100 0000:03:01.0: eth2: NIC Link is Up 100 Mbps Full Duplex
Jan  3 21:47:23 linuxs kernel: [    8.248518] ADDRCONF(NETDEV_CHANGE): eth2: link becomes ready
Jan  3 21:47:25 linuxs kernel: [   10.525181] ip_tables: (C) 2000-2006 Netfilter Core Team
Jan  3 21:47:25 linuxs kernel: [   10.608050] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Jan  3 21:47:25 linuxs kernel: [   10.608419] CONFIG_NF_CT_ACCT is deprecated and will be removed soon. Please use
Jan  3 21:47:25 linuxs kernel: [   10.608422] nf_conntrack.acct=1 kernel parameter, acct=1 nf_conntrack module option or
Jan  3 21:47:25 linuxs kernel: [   10.608424] sysctl net.netfilter.nf_conntrack_acct=1 to enable it.
Jan  3 21:47:26 linuxs kernel: [   11.640730] FIREWALL final: INPUT IN=eth2 OUT= MAC= SRC=200.238.115.115 DST=224.0.0.251 LEN=172 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=152
Jan  3 21:47:27 linuxs kernel: [   11.973615] u32 classifier
Jan  3 21:47:27 linuxs kernel: [   11.973619]     Actions configured
Jan  3 21:47:27 linuxs kernel: [   12.040959] FIREWALL final: INPUT IN=eth2 OUT= MAC= SRC=200.238.115.115 DST=224.0.0.251 LEN=209 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=189
Jan  3 21:47:27 linuxs kernel: [   12.682152] FIREWALL final: INPUT IN=eth2 OUT= MAC= SRC=200.238.115.115 DST=224.0.0.251 LEN=251 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=231
Jan  3 21:47:28 linuxs squid[1249]: Squid Parent: child process 1251 started
Jan  3 21:47:29 linuxs kernel: [   13.752977] FIREWALL final: INPUT IN=eth2 OUT= MAC= SRC=200.238.115.115 DST=224.0.0.251 LEN=172 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=152
Jan  3 21:48:51 linuxs kernel: [   96.561427] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49797 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:52 linuxs kernel: [   97.014197] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49798 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:53 linuxs kernel: [   97.884560] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49799 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:54 linuxs kernel: [   99.663737] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49800 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:48:58 linuxs kernel: [  103.184928] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49801 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0
Jan  3 21:49:05 linuxs kernel: [  110.233111] FIREWALL final: INPUT IN=eth2 OUT= MAC=00:90:27:a6:c6:c0:00:1e:f7:89:23:36:08:00 SRC=74.125.47.102 DST=200.238.115.115 LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=49802 PROTO=TCP SPT=80 DPT=44456 WINDOW=245 RES=0x00 ACK FIN URGP=0

................squid3client mgr:info
Código: [Selecionar]
HTTP/1.0 200 OK
Server: squid/3.0.STABLE19
Mime-Version: 1.0
Date: Wed, 04 Jan 2012 00:54:06 GMT
Content-Type: text/plain
Expires: Wed, 04 Jan 2012 00:54:06 GMT
Last-Modified: Wed, 04 Jan 2012 00:54:06 GMT
X-Cache: MISS from linuxs
X-Cache-Lookup: MISS from linuxs:3128
Via: 1.0 linuxs (squid/3.0.STABLE19)
Proxy-Connection: close

Squid Object Cache: Version 3.0.STABLE19
Start Time: Wed, 04 Jan 2012 00:47:28 GMT
Current Time: Wed, 04 Jan 2012 00:54:06 GMT
Connection information for squid:
Number of clients accessing cache: 2
Number of HTTP requests received: 7
Number of ICP messages received: 0
Number of ICP messages sent: 0
Number of queued ICP replies: 0
Number of HTCP messages received: 0
Number of HTCP messages sent: 0
Request failure ratio: 0.00
Average HTTP requests per minute since start: 1.1
Average ICP messages per minute since start: 0.0
Select loop called: 56581 times, 7.037 ms avg
Cache information for squid:
Hits as % of all requests: 5min: 0.0%, 60min: 0.0%
Hits as % of bytes sent: 5min: 1.1%, 60min: -5.4%
Memory hits as % of hit requests: 5min: 0.0%, 60min: 0.0%
Disk hits as % of hit requests: 5min: 0.0%, 60min: 0.0%
Storage Swap size: 92 KB
Storage Swap capacity: 0.0% used, 100.0% free
Storage Mem size: 108 KB
Storage Mem capacity: 0.1% used, 99.9% free
Mean Object Size: 18.40 KB
Requests given to unlinkd: 1
Median Service Times (seconds)  5 min    60 min:
HTTP Requests (All):   0.42149  0.42149
Cache Misses:          0.00000  0.76407
Cache Hits:            0.00000  0.00000
Near Hits:             0.00000  0.00000
Not-Modified Replies:  0.00000  0.00000
DNS Lookups:           0.00818  0.00904
ICP Queries:           0.00000  0.00000
Resource usage for squid:
UP Time: 398.139 seconds
CPU Time: 0.464 seconds
CPU Usage: 0.12%
CPU Usage, 5 minute avg: 0.11%
CPU Usage, 60 minute avg: 0.12%
Process Data Segment Size via sbrk(): 3444 KB
Maximum Resident Size: 83248 KB
Page faults with physical i/o: 1
Memory usage for squid via mallinfo():
Total space in arena:    3712 KB
Ordinary blocks:         3583 KB      5 blks
Small blocks:               0 KB      0 blks
Holding blocks:         28364 KB     18 blks
Free Small blocks:          0 KB
Free Ordinary blocks:     128 KB
Total in use:           31947 KB 100%
Total free:               128 KB 0%
Total size:             32076 KB
Memory accounted for:
Total accounted:         3035 KB   9%
memPool accounted:       3035 KB   9%
memPool unaccounted:    29040 KB  91%
memPoolAlloc calls:      4736
memPoolFree calls:       3470
File descriptor usage for squid:
Maximum number of file descriptors:   65535
Largest file desc currently in use:     14
Number of file desc currently in use:    9
Files queued for open:                   0
Available number of file descriptors: 65526
Reserved number of file descriptors:   100
Store Disk files open:                   0
Internal Data Structures:
    32 StoreEntries
    27 StoreEntries with MemObjects
    26 Hot Object Cache Items
     5 on-disk objects

abraços e até amanhã!
ainda nessa hora no trabalho ninguém merece...


Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #8 Online: 04 de Janeiro de 2012, 03:38 »
Que chato a questão dos descritores de arquivos não ter sido resolvida. Mas pelo menos o squid3 não tem esse problema, a instalação bica o limite pra 64K, em vez dos 1024 que vc tinha antes, logo leva muito mais tempo pra dar problema.

A gente precisa identificar o que acontece que faz o serviço parar. :-\
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #9 Online: 04 de Janeiro de 2012, 09:20 »
A gente precisa identificar o que acontece que faz o serviço parar. :-\
Opa! Ai é que está, o serviço aparentemente não pára. Pois o "squid3client" funcionaria mesmo com o serviço parado?

Porque quando os clientes param de acessar, quando vou no servidor e faco alguma requisição pelo squid3client, o programa me retorna ou não as paginas conforme o squid.conf.

abs

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #10 Online: 04 de Janeiro de 2012, 09:47 »
Uma coisa é o serviço parar, processo fora do ar. Outra coisa é parar de funcionar como vc relata... mas seria interessante ter algumas coisas mais controladas.

Por exemplo, se vc reinicia o serviço squid ("sudo service squid restart"), o problema passa?

Se vc pinga um site a partir das estações de trabalho, quando o serviço está com problema, o ping funciona?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #11 Online: 05 de Janeiro de 2012, 16:54 »
Uma coisa é o serviço parar, processo fora do ar. Outra coisa é parar de funcionar como vc relata... mas seria interessante ter algumas coisas mais controladas.

Por exemplo, se vc reinicia o serviço squid ("sudo service squid restart"), o problema passa?

não. mesmo 'restartando' o serviço o problema continua.
a impressão que dá é como se fosse um erro de DNS, não consegue mais sair (ou retornar) as páginas da net... fica so na rede interna. E o servidor acessando tudo normal.
Só que se fosse isso mesmo, não deveria dar o problema desde o inicio? E não começar tudo certinho e do 'nada' parar de acessar a net.


Se vc pinga um site a partir das estações de trabalho, quando o serviço está com problema, o ping funciona?

O ping nao funciona quando ocorre o problema.
Eu deixo o ping funcionando no cliente logo quando reinicio o servidor, quando para a conectividade o ping retorna: From CLIENTE1.local (ip cliente1) icmp_seq=NNN Destination Host Unreachable
Quando paro o ping e repito o comando no cliente ele retorna: ping: unknown host www.uol.com.br
E isso continua mesmo depois de reiniciar o squid no servidor.

Sabado vou tentar encontrar o problema so com o servidor e uma maquina.
Alguma dica para identificar o problema mais facilmente ?

Abraço e sabadão tem mais...

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #12 Online: 05 de Janeiro de 2012, 17:02 »
Citar
Citar
se vc reinicia o serviço squid ("sudo service squid restart"), o problema passa?
não. mesmo 'restartando' o serviço o problema continua.

Então a conclusão a que se chega é de que o problema não é no squid. A estação chega a receber alguma mensagem de erro do squid? Ou fica como se o squid estivesse fora do ar?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline rafaelomago

  • Usuário Ubuntu
  • *
  • Mensagens: 19
    • Ver perfil
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #13 Online: 05 de Janeiro de 2012, 17:42 »
Citar
Citar
se vc reinicia o serviço squid ("sudo service squid restart"), o problema passa?
não. mesmo 'restartando' o serviço o problema continua.

Então a conclusão a que se chega é de que o problema não é no squid. A estação chega a receber alguma mensagem de erro do squid? Ou fica como se o squid estivesse fora do ar?
Como se o squid estivesse fora do ar. Não há retorno para o cliente.

Quando digito alguma url o navegador fica tentando conectividade até parar e dizer que nao foi possível encontrar o servidor. Mesmo erro que ocorre se eu tirar o cabo de meu pc e tentar acessar alguma pagina.




Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.735
  • Gratidão gera gratidão, lamúria atrai lamúria...
    • Ver perfil
    • Blog do Zekke
Re: Ubuntu 10.04 - Dhcp + Iptables + Squid Transpatente = erro estranho
« Resposta #14 Online: 05 de Janeiro de 2012, 17:46 »
Quantas estações são?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D