Análise de logs do Squid

[ottomeu]

Olá venho pedir ajuda a vc´s aqui do fórun, estou com o seguinte problema.
Meus usuarios começaram a reclamar da velocidade da internet, logo fui analisar os logs do squid e achei estranho, pois apareciam solicitações de IP´s diferentes da minha rede que é 192.168.0.1. Desliguei todos os cabos da rede inteira e mesmo assim continuou gerando logs sem parar.
Segue abaixo algumas linhas do acess.log para vc´s me ajudarem:

378208847.652 0 173.234.163.14 TCP_DENIED/403 3775 GET http://ad.yieldmanager.com/st? - NONE/- text/html
1378208847.977 0 198.204.253.236 TCP_DENIED/403 3691 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208848.565 0 50.93.200.95 TCP_DENIED/403 3783 GET http://ad.globe7.com/st? - NONE/- text/html
1378208849.124 0 198.204.253.234 TCP_DENIED/403 3721 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208849.310 0 198.204.253.234 TCP_DENIED/403 3756 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208849.576 0 198.204.253.234 TCP_DENIED/403 3862 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208849.578 0 198.204.253.234 TCP_DENIED/403 3797 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208849.593 0 198.204.253.234 TCP_DENIED/403 3783 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208850.194 0 50.93.194.77 TCP_DENIED/403 3909 GET http://ad.yieldmanager.com/st? - NONE/- text/html
1378208850.204 0 50.93.200.158 TCP_DENIED/403 3950 GET http://ad.globe7.com/st? - NONE/- text/html
1378208850.323 0 199.187.124.254 TCP_DENIED/403 3972 GET http://203.209.229.244/config/login? - NONE/- text/html
1378208850.837 154 192.168.1.107 TCP_MISS/302 973 HEAD http://www.google.com/ - DIRECT/74.125.234.179 text/html
1378208850.968 0 50.93.202.21 TCP_DENIED/403 3983 GET http://ad.yieldmanager.com/st? - NONE/- text/html
1378208851.005 168 192.168.1.107 TCP_MISS/200 899 HEAD http://www.google.com.br/? - DIRECT/74.125.234.183 text/html
1378208852.011 0 61.95.208.4 TCP_DENIED/403 3898 GET http://www.baidu.com/ - NONE/- text/html
1378208852.459 0 198.204.253.237 TCP_DENIED/403 3855 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208852.972 0 173.234.162.133 TCP_DENIED/403 3924 GET http://ad.globe7.com/st? - NONE/- text/html
1378208853.007 0 199.116.113.207 TCP_DENIED/403 3713 GET http://l15.member.sp1.yahoo.com/config/pwtoken_get? - NONE/- text/html
1378208853.353 0 198.204.253.237 TCP_DENIED/403 3781 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208853.536 0 173.234.163.31 TCP_DENIED/403 3760 GET http://ad.yieldmanager.com/st? - NONE/- text/html
1378208853.559 0 198.204.253.234 TCP_DENIED/403 3811 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208853.759 0 96.47.232.22 TCP_DENIED/403 3848 GET http://ads.creafi-online-media.com/st? - NONE/- text/html
1378208853.770 0 198.204.253.234 TCP_DENIED/403 3805 GET http://ib.adnxs.com/ttj? - NONE/- text/html
1378208853.879 0 76.164.230.73 TCP_DENIED/403 3802 GET http://ad.globe7.com/st? - NONE/- text/html
1378208854.019 0 173.234.162.130 TCP_DENIED/403 3776 GET http://ad.tagjunction.com/st? - NONE/- text/html
1378208854.648 0 198.204.253.235 TCP_DENIED/403 3709 GET http://ib.adnxs.com/ttj? - NONE/- text/html

Ficarei muito grato se algume puder me ajudar.

[trober]

...logo fui analisar os logs do squid e achei estranho, pois apareciam solicitações de IP´s diferentes da minha rede que é 192.168.0.1....

O seu Squid está fazendo escuta (listen) em endereço público ou acessível externamente, possibilitando que qualquer outro host ou rede, que possa conecta-lo, usar seu proxy. Só não foi possível concretizar o acesso de terceiros pois, pelas negações no log, a composição dos ACLs não permitiu.

Ficarei muito grato se algume puder me ajudar.

Recomendo definir explicitamente em quais endereços você deseja que o Squid faça a escuta (listen), usando a diretiva http_port[1], conforme sugere a documentação[1].

[1] http://www.squid-cache.org/Doc/config/http_port/

[ottomeu]

Trober muito obrigado pela resposta, mas sem querer abusar, li e reli sobre a documentação do squid e não ficou claro o que tenho que fazer, vc poderia me dar uma dica ? Utilizo proxy transparente minha diretiva referente ao http_port esta assim; "http_port 3128 transparent". Obrigado.

[trober]

Trober muito obrigado pela resposta, mas sem querer abusar, li e reli sobre a documentação do squid e não ficou claro o que tenho que fazer, vc poderia me dar uma dica ? Utilizo proxy transparente minha diretiva referente ao http_port esta assim; "http_port 3128 transparent". Obrigado.

A diretiva http_port 3128 transparent define que todos os endereços locais, no seu servidor, farão "escuta", na porta 3128.

Se você deseja definir que somente loopback fará escuta, a diretiva fica:

Código :

http_port 127.0.0.1:3128     transparent

A diretiva é cumulativa, aceitando empilhamento. No exemplo abaixo, apenas o endereço loopback e 192.168.100.1, farão escuta (listen) para o serviço Squid.

Código :

http_port 127.0.0.1:3128     transparent
http_port 192.168.100.1:3128 transparent

[ottomeu]

Trober mudei a diretiva "http_port 3128" para "http_port 192.168.0.1:3128", onde 192.168.0.1 é o ip da placa de rede interna que distribui internet para a minha rede, mas a internet não funcionou nas estações. Tenho mais algo que devo fazer ou fiz a alteração de maneira errada ?

Fico muito grato pela ajuda, não estou achando em lugar nenhum como resolver isso. Pela manha a internet esta boa mas no decorrer do dia fica muito lenta e os logs correm tipo loco.

[trober]

...mudei a diretiva "http_port 3128" para "http_port 192.168.0.1:3128", onde 192.168.0.1 é o ip da placa de rede interna que distribui internet para a minha rede, mas a internet não funcionou nas estações. Tenho mais algo que devo fazer ou fiz a alteração de maneira errada ?

As estações tem endereço proxy definido manualmente? Se sim, ele é 192.168.0.1, na porta 3128?

No caso de proxy transparente, o redirecionamento está apontando para 192.168.0.1, na porta 3128?

Fico muito grato pela ajuda, não estou achando em lugar nenhum como resolver isso. Pela manha a internet esta boa mas no decorrer do dia fica muito lenta e os logs correm tipo loco.

Não é a forma mais correta, mas, emergencialmente, você pode fazer uma regra de firewall para negar qualquer requisição à porta 3128, que não seja originada na sua rede interna. Dessa forma você resolve a lentidão, até que resolva o problema por completo, com ajustes dos endereços em escuta, revisão dos redirecionamentos, entre outras correções.

[ottomeu]

Trober uso proxy transparente aponta para 192.168.0.1 na porta 3128 atraves do iptables:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128