Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão squid inoperante

    mas não há erros.
    Slackware 12.1, squid transparente.
    o squid aqui estava funcionando há mais ou menos um mês sem problemas. De um momento para outro, simplesmente não opera mais, ou seja, não atende as requisições de acesso às paginas http.
    O access.log não está registrando mais nada, está mesmo congeladão. O que já fiz:

    squid ESTÁ "escutando" na porta 3128
    removi o access.log e o recriei
    removi o cache e o recriei (squid -z)

    squid -d 255 NÃO MOSTRA ERRO:
    2008/11/06 13:53:48| Starting Squid Cache version 3.0.STABLE9 for i486-slackware-linux-gnu...
    2008/11/06 13:53:48| Process ID 2995
    2008/11/06 13:53:48| With 1024 file descriptors available
    2008/11/06 13:53:48| Performing DNS Tests...
    2008/11/06 13:53:49| Successful DNS name lookup tests...
    2008/11/06 13:53:49| DNS Socket created at 0.0.0.0, port 48771, FD 7
    2008/11/06 13:53:49| Adding domain carv.com.br from /etc/resolv.conf
    2008/11/06 13:53:49| Adding nameserver 127.0.0.1 from /etc/resolv.conf
    2008/11/06 13:53:49| Adding nameserver 208.67.222.222 from /etc/resolv.conf
    2008/11/06 13:53:49| Adding nameserver 208.67.220.220 from /etc/resolv.conf
    2008/11/06 13:53:49| Unlinkd pipe opened on FD 12
    2008/11/06 13:53:49| Swap maxSize 524288 KB, estimated 40329 objects
    2008/11/06 13:53:49| Target number of buckets: 2016
    2008/11/06 13:53:49| Using 8192 Store buckets
    2008/11/06 13:53:49| Max Mem size: 262144 KB
    2008/11/06 13:53:49| Max Swap size: 524288 KB
    2008/11/06 13:53:49| Version 1 of swap file with LFS support detected...
    2008/11/06 13:53:49| Rebuilding storage in /var/spool/squid (DIRTY)
    2008/11/06 13:53:49| Using Least Load store dir selection
    2008/11/06 13:53:49| Set Current Directory to /var/spool/squid
    2008/11/06 13:53:49| Loaded Icons.
    2008/11/06 13:53:49| Accepting transparently proxied HTTP connections at 128.0.11.5, port 3128, FD 14.
    2008/11/06 13:53:49| HTCP Disabled.
    2008/11/06 13:53:49| Ready to serve requests.
    2008/11/06 13:53:49| Done reading /var/spool/squid swaplog (0 entries)
    2008/11/06 13:53:49| Finished rebuilding storage from disk.
    2008/11/06 13:53:49| 0 Entries scanned
    2008/11/06 13:53:49| 0 Invalid entries.
    2008/11/06 13:53:49| 0 With invalid flags.
    2008/11/06 13:53:49| 0 Objects loaded.
    2008/11/06 13:53:49| 0 Objects expired.
    2008/11/06 13:53:49| 0 Objects cancelled.
    2008/11/06 13:53:49| 0 Duplicate URLs purged.
    2008/11/06 13:53:49| 0 Swapfile clashes avoided.
    2008/11/06 13:53:49| Took 0.02 seconds ( 0.00 objects/sec).
    2008/11/06 13:53:49| Beginning Validation Procedure
    2008/11/06 13:53:49| Completed Validation Procedure
    2008/11/06 13:53:49| Validated 25 Entries
    2008/11/06 13:53:49| store_swap_size = 0
    2008/11/06 13:53:50| storeLateRelease: released 0 objects

    removi e (re)instalei o squid; continua sem funcionar.

    Que faço agora, chamo um pai-de-santo?

    por favor, eu tive que permitir livre transito da galera para a internet mas o patrão NÃO VAI ficar feliz com isso. Nem eu.
    TIA.

  2. #2
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    IRADO já iniciou ele em debug mod ? squid -X se nao me engano ?
    assim agente pode pegar mais informacoes...



  3. #3
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    aproveitando.. welcome back

  4. #4

    Padrão

    Citação Postado originalmente por scorpion Ver Post
    IRADO já iniciou ele em debug mod ? squid -X se nao me engano ?
    assim agente pode pegar mais informacoes...
    bem.. eu estava usando o squid -d 255 que apresenta as informações mais importantes; em todo caso:

    a) squid -X (full debug) está aqui: pastebin - collaborative debugging tool

    b) BTW, o resultado é ABSOLUTAMENTE igual ao de outra máquina, que está funcionando normalmnte, ou seja: migrei as configurações/acl's pra outra máquina, só mudei o ip-addr e botei no ar. Funciona legalzinho. Já esta aqui (a titular), nem pelamor..



  5. #5

    Padrão

    Citação Postado originalmente por scorpion Ver Post
    aproveitando.. welcome back

    obrigado, mano veio..

  6. #6
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    Irado deixe-me entender... se vc der um telnet pra porta 3128 ele ta escutando ??? oq rolou é que nao ta chegando requisicao é isso ???

    ja tentou dar um tcpdump -vn port 3128

    pra confirmar se ta chegando trafego nesse squid ?



  7. #7

    Padrão

    o telnet..

    [[email protected]:/usr/src/nagios-3.0.4#]: telnet 128.0.11.5 3128
    Trying 128.0.11.5...

    como vc vê, o squid não responde...

    e o tcpdump:

    [[email protected]:/home/oderfla$]: tcpdump -vn port 3128
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    14:49:59.733039 IP (tos 0x10, ttl 64, id 28125, offset 0, flags [DF], proto TCP (6), length 52) 128.0.11.9.55463 > 128.0.11.5.3128: S, cksum 0x1cea (correct), 2607785210:2607785210(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>
    14:50:02.730150 IP (tos 0x10, ttl 64, id 28126, offset 0, flags [DF], proto TCP (6), length 52) 128.0.11.9.55463 > 128.0.11.5.3128: S, cksum 0x1cea (correct), 2607785210:2607785210(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>
    14:50:08.730072 IP (tos 0x10, ttl 64, id 28127, offset 0, flags [DF], proto TCP (6), length 52) 128.0.11.9.55463 > 128.0.11.5.3128: S, cksum 0x1cea (correct), 2607785210:2607785210(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>
    14:50:20.729926 IP (tos 0x10, ttl 64, id 28128, offset 0, flags [DF], proto TCP (6), length 52) 128.0.11.9.55463 > 128.0.11.5.3128: S, cksum 0x1cea (correct), 2607785210:2607785210(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>
    14:50:44.729611 IP (tos 0x10, ttl 64, id 28129, offset 0, flags [DF], proto TCP (6), length 52) 128.0.11.9.55463 > 128.0.11.5.3128: S, cksum 0x1cea (correct), 2607785210:2607785210(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>

    mostra que ESTÁ chegando lá; ou seja, é só o squid que finge de morto mesmo..

    nota: não ha bloqueio no fwll pq o pessoal (sem o redirecionamento para 3128) navega normalmente.

  8. #8
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    irado essa maquina que vc deu telnet é a mesma que ta o squid ???

    da um telnet 127.0.0.1 3128

    teoricamente tem que bindar em todos os ips



  9. #9

    Padrão

    Citação Postado originalmente por scorpion Ver Post
    irado essa maquina que vc deu telnet é a mesma que ta o squid ???

    da um telnet 127.0.0.1 3128

    teoricamente tem que bindar em todos os ips
    o telnet era de fora, outra máquina na mesma rede. Vejamos:

    [[email protected]:/home/oderfla$]: netstat -nlpt
    Active Internet connections (only servers)
    Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

    [...]
    tcp 0 0 128.0.11.5:3128 0.0.0.0:* LISTEN 3216/(squid)
    [..]
    tá escutando, pois

    [[email protected]:/home/oderfla$]: telnet 127.0.0.1 3128
    Trying 127.0.0.1..
    telnet: connect to address 127.0.0.1 Connection refused

    mas recusa-se a atender

    ou seja.. NÃO QUER MESMO, tanto faz interno quanto externo.

    nota: êle NÃO OUVE em todos os endereços - nem pode, é um gw. Só ouve na eth-interna (LAN).
    Última edição por irado; 06-11-2008 às 16:00.

  10. #10
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    Irado manda um netstat -na | grep 3128

    so pra desencargo de consciência.

    aproveita e manda da propria maquina do squid

    telnet 128.0.11.5 3128

    tambem aproveita e cola aqui um

    iptables -L -n -v

    e
    iptables -L -n -t nat -v



  11. #11

    Padrão

    [[email protected]:/home/oderfla$]: netstat -na | grep 3128
    tcp 0 0 128.0.11.5:3128 0.0.0.0:* LISTEN

    ah, êsse vc já tinha visto antes, ô scorpion.. prestatenção, minino..
    [[email protected]:/home/oderfla$]: iptables -L -n -v
    Chain INPUT (policy DROP 165 packets, 16051 bytes)
    pkts bytes target prot opt in out source destination
    2 205 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
    127 6900 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    250 30632 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137:139 reject-with icmp-port-unreachable
    0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 137:139 reject-with icmp-port-unreachable
    0 0 LOG all -- eth1 * 128.0.0.0/16 0.0.0.0/0 LOG flags 0 level 7 prefix `** INPUT ESTRANHO **'
    0 0 REJECT tcp -- eth0 * !128.0.1.3 0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
    0 0 ACCEPT tcp -- eth0 * 128.0.0.0/16 0.0.0.0/0 multiport dports 25,5435,10000
    1 72 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123
    0 0 ACCEPT udp -- eth0 * 128.0.0.0/16 0.0.0.0/0 udp dpt:161
    0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
    0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2020 dpt:2020
    0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
    3 144 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 LOG flags 0 level 7 prefix `** INPUT - DESCARTADOS **'
    3 144 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02

    Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts bytes target prot opt in out source destination
    0 0 ACCEPT all -- tun+ * 0.0.0.0/0 0.0.0.0/0
    0 0 DROP all -- eth0 * !128.0.0.0/16 0.0.0.0/0
    37387 24M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    1671 89704 ACCEPT all -- eth0 * 128.0.0.0/16 0.0.0.0/0
    0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 128.0.1.3 tcp dpt:18768
    123 5980 ACCEPT tcp -- eth1 * 0.0.0.0/0 128.0.1.3 tcp dpts:6881:6891

    Chain OUTPUT (policy DROP 25 packets, 12712 bytes)
    pkts bytes target prot opt in out source destination
    2 205 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
    78 7168 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT tcp -- * eth1 0.0.0.0/0 0.0.0.0/0 multiport dports 53,25,80,443 state NEW,RELATED,ESTABLISHED
    2 148 ACCEPT udp -- * eth1 0.0.0.0/0 0.0.0.0/0 multiport dports 53,123
    0 0 ACCEPT udp -- * eth0 0.0.0.0/0 128.0.0.0/16 udp dpt:161
    0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
    0 0 ACCEPT esp -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT ah -- * * 0.0.0.0/0 0.0.0.0/0
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:2020 dpt:2020

    ####################

    [[email protected]:/home/oderfla$]: iptables -L -n -t nat
    Chain PREROUTING (policy ACCEPT)
    target prot opt source destination
    ACCEPT tcp -- 128.0.0.0/16 200.201.160.0/20 multiport dports 80,443
    ACCEPT all -- 128.0.0.0/16 0.0.0.0/0
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:18768 to:128.0.1.3:18768
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:6881:6891 to:128.0.1.3:6881
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6666 to:128.0.1.3:6666
    DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6667 to:128.0.1.3:6667

    Chain POSTROUTING (policy ACCEPT)
    target prot opt source destination
    MASQUERADE all -- 128.0.0.0/16 0.0.0.0/0

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

  12. #12
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    IRADO o problema ta no teu querido firewall hehehehe teu policy ta DROP

    Chain INPUT (policy DROP 165 packets, 16051 bytes)

    e vc nao tem nenhuma regra liberando esse trafego nem por rede nem por porta.



  13. #13

    Padrão

    gostaria muito, muito mesmo, de acreditar em vc.. mas não posso

    o fwll é o mesmo HÁ DOIS MESES, e esse squid esta funcionando assim ha PELO MENOS 30 dias..

    tenho OUTRO fwll igualzinho, com as mesmissimas regras, funcionando em outra filial... ha mais ou menos 45 dias. Tambem sem problemas.

    jah são DOIS motivos pra não acreditar em vc.

    ah, e não se esqueça: não se deve mesmo permitir acesso indiscriminado.. vc tem que fazer forward:

    $IPT -t filter -A FORWARD -s $REDE -i $NIC_INTERNA -p ALL -j ACCEPT

    INPUT é apenas para pacotes que se destinem a propria maquina; veja que habilita-se ntp, snmp, smtp, algumas outras, que tem serviços ativos nesta maquina aqui.




    ps: procurando no google eu já vi que tem um montão de gente com o mesmo problema: o squid, DO NADA, para de funcionar. Apenas para..
    Última edição por irado; 06-11-2008 às 17:06.

  14. #14
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    Entao cara.. o squid nao ta na propria maquina ???



  15. #15

    Padrão

    sim, scorpion, está. Mas já respondendo sua proxima pergunta: o forward E o (pre/post) routing eh que devem fazer isso. Input eh so pra serviços DA PROPRIA MAQUINA, ou acesso. Por exemplo: smtp, ssh NESSA maquina precisam ser acessiveis, mas o squid soh por PREROUTING [...] -j REDIRECT port..

    então:
    serviços disponiveis nessa maquina:
    $IPT -t filter -A INPUT -p tcp -m multiport -i $NIC_INTERNA -s $REDE --destination-port smtp,5435,10000 -j ACCEPT

    e o proxy, transparente:
    $IPT -t nat -A PREROUTING -s $REDE -i $NIC_INTERNA -p tcp -d 0/0 --dport http -j REDIRECT --to-port 3128

    de qualquer forma, volto a insistir: funcionou normalmente por (pelo menos) 40 dias; parou repentinamente na madrugada de ontem e NÃO HOUVE qualquer alteração seja no squid.conf seja no script de firewall. E existem vários posts na 'net (veja pelo google) de colegas com o mesmo problema: squid congelado "do nada".

  16. #16
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    Irado vamos fazer so um teste pra eu ter certeza...

    manda um iptables -P INPUT ACCEPT

    e testa... se nao funcionar eu realmente estou errado

    depois pra voltar iptables -P INPUT DROP



  17. #17

    Padrão

    Citação Postado originalmente por scorpion Ver Post
    Irado vamos fazer so um teste pra eu ter certeza...

    manda um iptables -P INPUT ACCEPT

    e testa... se nao funcionar eu realmente estou errado

    depois pra voltar iptables -P INPUT DROP
    seu TEIMOSOOOOOO!!!! :P

    [[email protected]:/home/oderfla$]: iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination


    como eu esperava, não funcionou;

    (acho que vc faltou nessa aula de "iptables policies" - risos)

    POLITICAS DEVEM SER DROP OU REJECT.. pra facilitar a vida. Mas tem quem goste de sofrer e deixe OPEN só pra ficar criando trilhões de regras proibindo isso e aquilo

    um bom fimdi, scorpion. Valeu pela tentativa

  18. #18
    Under-linux.Org Team Avatar de MarcusMaciel
    Ingresso
    Dec 2000
    Localização
    Boston
    Posts
    1.970
    Posts de Blog
    44

    Padrão

    foi uma tentativa desesperadora pq eu nunca vi isso na minha vida huAHUahuA



  19. #19

    Padrão

    Citação Postado originalmente por scorpion Ver Post
    foi uma tentativa desesperadora pq eu nunca vi isso na minha vida huAHUahuA
    infelizmente eu fui agraciado com essa maravilha. Claro, não estou sozinho, um monte de gente (veja no google) tem o mesmo problema e, pelo que vi, SEM SOLUÇÃO.

    removi e (re)instalei com 3 pacotes.tgz diferentes, removi e instalei a partir do source, sempre removendo TUDO, inclusive cache, log's e o escambau. Nada..

    claro, não quero ter que reinstalar TODO o sistema por isso - acho um absurdo despropositado - mas JURO que já estou pensando nisso

    ps: em outra máquina, funciona normalmente. Tanto que estou propondo à chefia para mudarmos de proxy para aquela maquina (não da transparente). Funciona, mas ai aparece um OUTRO problema cavernoso - risos - que deixo pra outra ocasião.

    de novo, bom fimdi.

  20. #20

    Padrão

    Qual é a versão do squid?

    Existe diferença de versão entre este squid e o da outra máquina?

    Teve algum update recente?

    Pode postar o squid.conf (sem comentários)?