Squid travando quando alguns clientes entram, vírus?

[islan]

Olá amigos,

Estou passando por um probleminha aqui, uso slackware 12 + Myauth Gateway 2, tudo estava perfeito até que de uns 3 dias para cá determinados momentos o acesso à internet (sites) ficava um lixo, enquanto que outros serviços como MSN, Skype, etc funcionava normalmente.
Aí revisei tudo, link, hardware etc, aí fiz um teste, quando eu restartava o squid o acesso voltava ao normal mas logo em seguida coisa de 1 ou 2 minutos voltava a ficar lento quase travando, às vezes dava pagina não pode ser exibida no cliente.
Ai fui investigar mais a fundo e percebi que quando determinados clientes logavam o acesso ficava lento, pra ter certeza eu derrubava o acesso somente desses caras e tudo voltava ao normal...
A solução foi eu desativar o squid, ou seja, o servidor está apenas compartilhando o link sem cache (isso mata o desempenho da rede :S ), olhei as configurações do squid.conf e aparentemente nada anormal, eu acredito que seja algum tipo de virus que esteja se espalhando, pois de ontem pra hoje a quantidade de clientes problemáticos que entram está aumentando, alguém já passou por isso???

Um abraço...

[Josue Guedes]

Isso deve ser os logs do squid que estão muito grandes, dá uma olhada ai no /var/log/squid...tem um store.log que cresce muito rápido, você pode desabilitar ele no squid.conf, verifica ai o espaço no HD também.

[islan]

Meu squid não está gravando log, mas eu fiz umas alterações no servidor a até agora aparentemente resolveu, vamos ver, tipow eu desativei o protocolo icmp, e limitei as conexões simultâneas para 40, até o momento graças ao meu bom Deus tá funcionando uma tetéia
Se voltar a dar pau eu posto aqui novamente, mas valew aí o apoio

Um abraço...

[drcfilho]

vc pode postar como vc fez isso?

[islan]

Citação:

Postado Originalmente por drcfilho

vc pode postar como vc fez isso?

Vamos lá:

Para desativar o protocolo icmp adicionei essas linhas no firewall.conf

iptables -I INPUT -p icmp -j DROP

Para o limite de conexões simultâneas consegui esse script (limite-conexoes.sh) de autoria do Patrick Brandão (www.myauth.com.br):

#--------------inicia aqui-----------------------------------------------
#!/bin/sh
# script para bloquear conexões baseado em limite de conexões TCP
#
# testa se o modulo connlimit esta disponivel
r=0
iptables -N null 2>/dev/null
iptables -F null
if [ -f /usr/lib/iptables/libxt_connlimit.so ]; then
# modulo encontrado, testar suporte
iptables -A null -p tcp -m connlimit --connlimit-above 12 --connlimit-mask 32 -j ACCEPT 2>/dev/null 1>/dev/null
if [ "$?" = "0" ]; then r=1; fi
fi
if [ "$r" = "0" ]; then
echo "ERRÖ"
echo " - O kernel usado nao suporte connlimit"
exit 1
fi
# Numero de conexoes TCP maxima
LIMIT=100
echo " - Iniciando controle de conexoes simultaneas a $LIMIT"
# prapara chain
chain="connlimit"
action="connlimit_action"
echo " - Preparando tabelas"
iptables -N $chain 2>/dev/null
iptables -F $chain
iptables -N $action 2>/dev/null
iptables -F $action
iptables -D FORWARD -j $chain 2>/dev/null
iptables -I FORWARD -j $chain

# Portas escapadas -------------------------------------------------
echo " - Escapando portas principais"
# - Escapar portas permite que o controle de conexoes
# afete somente software p2p
# - Software p2p podem usar portas padrao como 80, se quiser
# tornar o controle de conexoes mais efetivo, comente as linhas
# abaixo
for port in 20 21 22 23 25 80 110 143 443 5800 5900 1863; do
iptables -A $chain -p tcp -m multiport --port $port -j RETURN
done
# Escapar DNS do controle de conexoes simultaneas
iptables -A $chain -p udp -m multiport --port 53 -j RETURN

# Limitar conexões ------------------------------------------
iptables -A $chain -m connlimit --connlimit-above $LIMIT --connlimit-mask 32 -j $action

# acao ------------------------------------------------------
#iptables -A $action -j LOG --log-prefix 'OVERLIMIT: '
iptables -A $action -j DROP

#---------------------------finaliza aqui-----------------------------------------------------------------

Um abraço...