Perda de conexão em massa nos meus servidores

[Gosulator]

Seguinte, quando eu coloco algum webproxy pra rodar, eu começo a ter perdas de conexão do nada. Eu usava o cache do mikotik 2.9 perfeitamente bem até alguns meses atrás, e de um dia pro outro isso começou. Eu já desativei e reativei tudo, mudei TODAS AS MÁQUINAS do meu servidor (load balance, firewall), mudei todas as placas de rede, refiz o cabeamento, e nada. Mudei dns até dizer chega, e nada. Então enfiei a v3.20 no firewall e parei de usar o cache. Ficou normal (não, não era problema de processamento na máquina, estava sobrando). Recentemente tentei reintroduzir o cache aqui, trabalhando com uma máquina extra rodando FW Brasil rodando squid. Beleza, colocamos pra funcionar e algumas horas depois os problemas recomeçaram. você tenta abrir uma página, abre uma conexão (vc fica vendo no firefox as conexões que o ff tá fazendo no canto esquerdo inferior da tela) abre outra, depois tenta abrir outra e não consegue, e a página não é carregada. As vezes não consegue abrir nem a primeira conexão. Se você tentar fazer um download em um gerenciador, vai mostrar lá ele tentando abrir as conexões por um bom tempo, e então da falha.

Quando eu desativo o squid, a rede volta ao normal. Lembrando que TUDO, TUDO já foi trocado aqui, e o problema reaparece. Me resta acreditar que o problema é no AP ou em algum cliente. No ap acho complicado, pois é apenas bridge e funciona perfeitamente quando o squid está desligado tudo volta a funcionar (lembrando que não estou falando de gargalo no ap, pois o problema acontece também em quem está conectado via ethernet). E em clientes, não sei como descobrir isso. Me falaram pra procurar por "Syn sent" no ip>firewall>connections. E de fato existem alguns, poucos. Em média existem 13 syn sent/received pra cada 1000 conexões. E os syn vêm de diferentes clientes, não tem um padrão.

Estou agora em vias de implantar o thunder cache aqui, mas não quero me matar todo de novo à toa, pra voltar a acontecer o mesmo problema.

Alguém já teve a mesma experiencia?

Tô fazendo uns testes aqui, pedi pra filtrar os "syn received", e vou olhando os ips em tempo real. TODOS os clientes que tão tendo esses "syn received" estão fazendo downloads na velocidade máxima da conexão, provavelmente p2p.

O "syn sent", a maioria é gente fazendo download tb (os mesmos que apareciam na lista de "syn received"), mas os que têm mais "syn sent" estão com a conexão away. Deve ser pcs com vírus.

As portas usadas pra essas conexões têm um certo range, até que pequeno, 1525-1530, 1060-1069, 22682-22689, Mas eu estou acompanhando aqui conforme vai acontecendo, são portas demais, já ví aqui umas 200 portas diferentes em 10 minutos.

Eu poderia forçar esse pessoal todo a formatar a máquina, mas isso é paleativo, eu preciso de uma solução definitiva, ou então teria que passar 24h/d olhando as conexões e bloqueando os clientes, o que é impossível e deixaria eles muito putos, já que quem pega vírus uma vez vai pegar de novo em breve, não conseguiriam passar muito tempo sem olhar um porn na internet.

[Roberto21]

Olá, boa tarde!

O problema de sua rede é firewall, o que há de comum entre tudo que você já fez na sua rede? As configurações do MK, é necessário uma confguração ''avançada'' em seu firewall onde clientes que estejam causando esse tipo de tráfego que você ''acha'' que está causando o problema sejam adicionados ao address-list, mas não acho que seja esse o problema, acho sim que são suas configurações do MK.

[redewpf]

Ola boa tarde, amigo tambem estou tendo problema parecido, estava ultilizando o a versão 2.9 passei para a 3.x quando ultilizo o squid do mk trava toda a rede e quando desativo volta a funciona normalmente, ja troquei pc compleot do gabinete ate processador e não volta a funcionar nada, tive q mudar para a 2.x crack, não sei mas o q fazer comprei a licença e agora esta parada acho q perdi 110,00 e mas de 5 clientes depois desse problemas .

[Gosulator]

Olá, boa tarde!

O problema de sua rede é firewall, o que há de comum entre tudo que você já fez na sua rede? As configurações do MK, é necessário uma confguração ''avançada'' em seu firewall onde clientes que estejam causando esse tipo de tráfego que você ''acha'' que está causando o problema sejam adicionados ao address-list, mas não acho que seja esse o problema, acho sim que são suas configurações do MK.

Pode estar faltando uma regra pra dropar as portas utilizadas pelos virus que fazem isso. Mas erro grosseiro de config não é, até porque a config já foi refeita aqui quando eu migrei pra 3.x, refeita do 0, por um grupo diferente do que fez a config original. E vem e dá o mesmo problema. Posso até postar meu fw aqui pra vc ver que não tem nada tosco nele não, é até bem enchuto

[laurocesar]

O grande problema que enfrentamos é o fato de que as conexões dos clientes, são dropadas somente depois que chegam no Ap/Servidor. Ou seja, cria overload mesmo assim.

Dá uma olhada no HostCERT - A Solução efetiva contra o uso não autorizado da infraestrutura de rede. , ele faz o controle de upload na interface do cliente, acabando com esse problema.

[Gosulator]

mas não é isso, se fosse isso o problema aconteceria mesmo sem o squid rodando