+ Responder ao Tópico



  1. #1

    Padrão squid nao fuciona "muito lento"

    gostaria que vcs avaliasse o meu firewall e pergunto porque o SQUID fica lento? pior do que uma discada.

    Processador 2.3 celeron
    768 RAM
    HD 40 GB
    Link 2MB telemar
    Clientes 203
    sistema conectiva 10 "firewall"

    REDES: 3
    eth0 ______ link de internet
    eth1 ______ rede 1 192.168.255.254
    eth2 ______ rede 2 192.168.252.254
    REDE Virtual
    eth2:200 192.168.252.60.1 (servidor apache "página de aviso")
    Cotrole de banda com CBQ 128 k para cada clientes

    AS REGRAS:

    /roo/firewall

    #!/bin/sh
    ################limpado tabelas ###########################
    iptables -t nat -F
    iptables -t filter -F

    ########################MOD##########################
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp

    #####################liberando Internet #############

    #NAT PARA SERVIDOR WEB
    iptables -A PREROUTING -t nat -d 200.217.166.173/32 -j DNAT --to 192.168.252.233
    iptables -A POSTROUTING -t nat -s 192.168.252.233/32 -j SNAT --to 200.217.166.173

    ##########################MASQ###############################

    iptables -t nat -A POSTROUTING -s 192.168.252.0/24 -d 0.0.0.0/0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.255.0/24 -d 0.0.0.0/0 -j MASQUERADE
    ##############################SQUID##########################
    iptables -A PREROUTING -t nat -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #########################Setagem para controle de UPLOAD via CBQ
    iptables -A PREROUTING -t mangle -s 192.168.252.0/24 -j MARK --set-mark 2
    iptables -A PREROUTING -t mangle -s 192.168.255.0/24 -j MARK --set-mark 1

    ##########-Bloqueios de portas-######################
    #TFTP
    iptables -I INPUT -s 0/0 -p tcp --dport 69 -j DROP
    iptables -I FORWARD -s 0/0 -p udp --dport 69 -j DROP
    #Srv Local
    iptables -I INPUT -s 0/0 -p tcp --dport 135 -j DROP
    iptables -I FORWARD -s 0/0 -p udp --dport 135 -j DROP
    #Netbio
    iptables -I INPUT -s 0/0 -p tcp --dport 137 -j DROP
    iptables -I FORWARD -s 0/0 -p udp --dport 137 -j DROP
    iptables -I INPUT -s 0/0 -p tcp --dport 138 -j DROP
    iptables -I FORWARD -s 0/0 -p udp --dport 138 -j DROP
    iptables -I INPUT -s 0/0 -p tcp --dport 139 -j DROP
    iptables -I FORWARD -s 0/0 -p udp --dport 139 -j DROP

    #Direcionamento de pagina para aviso do cliente
    #gisele
    iptables -t nat -A PREROUTING -p tcp -s 192.168.252.201 --dport 80 -j DNAT --to-dest 192.168.60.1
    #montmor
    iptables -t nat -A PREROUTING -p tcp -s 192.168.252.131 --dport 80 -j DNAT --to-dest 192.168.60.1
    #tico
    iptables -t nat -A PREROUTING -p tcp -s 192.168.252.217 --dport 80 -j DNAT --to-dest 192.168.60.1

    CONTROLE COM MAC:

    /root/mac.sh

    #!/bin/sh
    ########################---MAC DOS RADIOS---##############################
    iptables -t filter -F

    iptables -t filter -A INPUT -s 0.0.0.0/0 -i eth1 -j DROP
    iptables -t filter -A INPUT -s 0.0.0.0/0 -i eth2 -j DROP
    iptables -t filter -A FORWARD -s 0.0.0.0/0 -i eth1 -j DROP
    iptables -t filter -A FORWARD -s 0.0.0.0/0 -i eth2 -j DROP

    iptables -t filter -I INPUT -s 200.217.166.190 -j ACCEPT
    iptables -t filter -I INPUT -d 200.217.166.190 -j ACCEPT
    iptables -t filter -I FORWARD -s 200.217.166.190 -j ACCEPT
    iptables -t filter -I FORWARD -d 200.217.166.190 -j ACCEPT

    #AP NETFACIL1
    #iptables -t filter -I INPUT -m mac --mac-source 00:17:0e:db:06:66 -j ACCEPT
    #iptables -t filter -I FORWARD -m mac --mac-source 00:17:0e:db:06:66 -j ACCEPT

    #AP-ZIWELL-HORIZONTE
    #iptables -t filter -I INPUT -m mac --mac-source 00:05:9e:81:12:91 -j ACCEPT
    #iptables -t filter -I FORWARD -m mac --mac-source 00:05:9e:81:12:91 -j ACCEPT

    #firewall-Server-HORIZONTE
    iptables -t filter -I INPUT -m mac --mac-source 00:05:9e:81:1d:33 -j ACCEPT
    iptables -t filter -I FORWARD -m mac --mac-source 00:05:9e:81:1d:33 -j ACCEPT

    ######################---FIM DAS MAC DOS RADIOS---#######################
    #cliente1
    iptables -t filter -I INPUT -m mac --mac-source 00:60:08:8c:61:4f -j ACCEPT
    iptables -t filter -I FORWARD -m mac --mac-source 00:60:08:8c:61:4f -j ACCEPT
    #cliente2
    iptables -t filter -I INPUT -m mac --mac-source 00:07:95:13:b9:0e -j ACCEPT
    iptables -t filter -I FORWARD -m mac --mac-source 00:07:95:13:b9:0e -j ACCEPT
    #cliente3
    iptables -t filter -I INPUT -m mac --mac-source 10:e0:16:b8:cb:ed -j ACCEPT
    iptables -t filter -I FORWARD -m mac --mac-source 10:e0:16:b8:cb:ed -j ACCEPT
    #cliente4
    iptables -t filter -I INPUT -m mac --mac-source 00:40:f4:5e:4c:6e -j ACCEPT
    iptables -t filter -I FORWARD -m mac --mac-source 00:40:f4:5e:4c:6e -j ACCEPT

    SQUID:
    /etc/squid/squid.conf

    hierarchy_stoplist cgi-bin ?
    http_port 3128
    cache_mem 256 MB
    cache_swap_low 90
    cache_swap_high 95
    maximum_object_size 2048 KB
    client_netmask 255.255.255.0
    dns_nameservers 200.194.228.1
    cache_dir aufs /var/cache/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    ftp_user [email protected]
    # ACLS
    acl all src 0.0.0.0/0.0.0.0
    acl localnet src 192.168.252.0/255.255.255.0
    acl manager proto cache_object
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localnet
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow all
    icp_access allow all
    visible_hostname on
    httpd_accel_host virtual
    httpd_accel_port 80 21 443
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on


    o Que podeestá de errado?
    Última edição por fsoaress76; 28-11-2006 às 13:09.

  2. #2

    Padrão

    Já deu uma analisada no tráfego que tá passando pelo seu servidor? Seu relay tá aberto, talvez existam algumas dúzias de pessoas navegando por ele... já viu se o processo do Squid come muita memória?



  3. #3

    Padrão

    cara...

    quando vc tira o squid e deixa os clientes passarem direto, como fica a conexão???

    ainda mais que seu squid não está fazendo praticamente nada de cache...

    experimente comentar a linha: client_netmask

    mude o cache_dir para diskd

    seu squid está aberto para a qualquer host e não tem bloqueio no iptables...

    como o xstefanox disse, podem haver algumas pessoas (de fora na net) navegando pelo seu squid, geralmente spamer faz isso...

    valeu

  4. #4

    Padrão

    sou ainda um pouco leigo em servidores:

    Lucianogf - quando vc tira o squid e deixa os clientes passarem direto, como fica a conexão???

    R. quando eu tiro o squid fica melhor.

    cache: como colocar?

    vou comentar netmask
    e mudar aufs diskd

    xstefanox
    como fecha relay?
    e memoria como vejo?

    quanto ao firewall ta bom ou tem mais alguma regras para que eu possa deixar mais seguro.



  5. #5

    Padrão

    sinto muito nao tive exito

    com o squid, tem paginas que nem abre fica carregando,carregando, no fina diz que nao foi posivel.

  6. #6

    Padrão

    cara..

    quais alterações vc fez no seu squid?

    se vc fez várias alterações, poste seu squid.conf novamente



  7. #7

    Padrão

    As Alterações foram:
    #############################
    hierarchy_stoplist cgi-bin ?
    http_port 3128
    cache_mem 256 MB
    cache_swap_low 90
    cache_swap_high 95
    maximum_object_size 1024 KB
    minimum_object_size 0 KB #ALTERADO
    #client_netmask 255.255.255.0 #ALTERADO
    dns_nameservers 200.194.228.1
    cache_dir diskd /var/cache/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    refresh_pattern ^ftp: 15 20% 2280 #ALTERADO NAO TINHA ANTES
    refresh_pattern ^gopher: 15 0% 2280 #ALTERADO NAO TINHA ANTES
    refresh_pattern . 15 20% 2280 #ALTERADO NAO TINHA ANTES
    ftp_user [email protected]
    # ACLS
    acl all src 0.0.0.0/0.0.0.0
    acl localnet src 192.168.252.0/255.255.255.0
    acl manager proto cache_object
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localnet
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow all
    icp_access allow all
    visible_hostname on
    httpd_accel_host virtual
    httpd_accel_port 80 21 443
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    SERÁ QUE ALGEUM AI NAO PODERIA MANDA UM SCRIPT PARA MIM DE UM SQUID PARA SERVIDO DE INTERNET SEM BLOQUEAR NADA.

    AS CONFIGURAÇÃO DAS REDES ESTÃO LA EN CIMA
    AGRADESERIA
    OU SERÁ AMAQUINA?
    SE EU COMPRA UM P4, HD 180 SATA, 2G DE MEMORIA RESOLVERIA?

  8. #8

    Padrão

    Citação Postado originalmente por fsoaress76 Ver Post
    As Alterações foram:
    #############################
    hierarchy_stoplist cgi-bin ?
    http_port 3128
    cache_mem 256 MB
    cache_swap_low 90
    cache_swap_high 95
    maximum_object_size 1024 KB
    minimum_object_size 0 KB #ALTERADO
    #client_netmask 255.255.255.0 #ALTERADO
    dns_nameservers 200.194.228.1
    cache_dir diskd /var/cache/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    refresh_pattern ^ftp: 15 20% 2280 #ALTERADO NAO TINHA ANTES
    refresh_pattern ^gopher: 15 0% 2280 #ALTERADO NAO TINHA ANTES
    refresh_pattern . 15 20% 2280 #ALTERADO NAO TINHA ANTES
    ftp_user [email protected]
    # ACLS
    acl all src 0.0.0.0/0.0.0.0
    acl localnet src 192.168.252.0/255.255.255.0
    acl manager proto cache_object
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    http_access allow manager localnet
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow all
    icp_access allow all
    visible_hostname on
    httpd_accel_host virtual
    httpd_accel_port 80 21 443
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    SERÁ QUE ALGEUM AI NAO PODERIA MANDA UM SCRIPT PARA MIM DE UM SQUID PARA SERVIDO DE INTERNET SEM BLOQUEAR NADA.

    AS CONFIGURAÇÃO DAS REDES ESTÃO LA EN CIMA
    AGRADESERIA
    OU SERÁ AMAQUINA?
    SE EU COMPRA UM P4, HD 180 SATA, 2G DE MEMORIA RESOLVERIA?
    É de bom grado dentro do fórum não escrever em letras maiúsculas. Isso dá a impressão de que você está gritando com as pessoas que querem te ajudar, sendo rude.

    Com o procedimento que o lucianogf te indicou, sobre tirar o proxy e deixar somente o NAT, realmente não ajudou? Se for um problema assim, pode ser algo que não seja de sistema, mas sim de hardware ou ainda, gargalo em algum roteador.

    Fora isso, eu vi que você está utilizando CBQ. Você já verificou se as regras estão corretas? Já tentou baixá-las para ver a diferença?



  9. #9

    Padrão

    cara...

    é interessante vc dar uma estudada sobre o assunto referente ao squid..

    eu falei pra vc mudar o cache_dir pra diskd, pelo jeito vc nem sabe no que diferencia um do outro...

    pra poder mudar pra diskd vc precisa além de acrescentar coisas na configuração do cache_dir, também reconfigurar umas coisas no kernel, para isso usa-se o sysctl

    dentro do /etc/sysctl.conf coloque as linhas:

    kernel.msgmnb = 16384
    kernel.msgmni = 41
    kernel.msgmax = 2049
    kernel.shmmni = 32
    kernel.shmall = 3096
    kernel.shmmax = 2097152
    o cache_dir pra ser usado com diskd precisa estar da seguinte forma:

    cache_dir diskd /var/spool/squid/cache 80000 128 256 Q1=64 Q2=72
    nesta configuração estou usando 80gb para cache e uma hierarquia de diretórios com 128 ni primeiro nivel e 256 no segundo, o Q1 e Q2 não encontrei porque alterar estes valores.

    no seu httpd_access_port deixe apenas a porta 80, seu squid é transparente, e além disso, vc está fazendo redirecionamento apenas da porta 80.

    veja que sua acl "all" está deixando qualquer host conectar no squid, então se a porta do squid estiver aberta para a internet alguém de fora poderá usar seu proxy. Use algum scanner externo para ver quais portas do seu firewall estão abertas.

    o dns q está setado no dns_nameservers, é um DNS funfional e rápido? se este servidor estiver com problemas pode influenciar no desempenho do squid.

    Qual a quantidade de maquinas que passam pelo proxy? dependendo da quantidade não vai adiantar vc trocar de máquina.

    Qual a quantidade de memória fisica e swap que vc tem?

    quando o squid está rodando, vc já verificou o quanto de processo ele está consumindo?

    veja estas questões e depois posta os resultados..

    valeu

  10. #10

    Padrão

    valeu pela aula

    mais , como eu disse sou novato ainda com servidores wireless

    512 memoria de wap
    dei um stop no cbq
    e ativei o squid parecia bom. no começo mais depois de 24 hs alguns entravam na internet com muita dificuldade.

    hoje estara chegando um servidor novo.

    P4 com memoria de 2 G e HD de 160 SATA

    vou instalar o debin e fazer tudo novo do zero.

    se alguem pode me da uma dica para eu dividir ele para ficar bem didivido agradeceria