Servidor proxy + firewall = navegação lenta [RESOLVIDO]

leo4b
(usa Outra)

Enviado em 01/08/2012 - 23:25h

Ola boa noite.
Bom montei aqui um servidor proxy rodando squid3 com um firewall "+-" rodando no debian.
O problema é que em alguns casos, quando entro em uma pagina, ela tem um delay para começar a carregar, é coisa de 30 s e o problema acontece uma vez ou outra, fora to proxy fica tudo ok.... Segue minhas configurações para analise, aceito sugestões para melhora e organização das configs também.

Tanto o firewall quanto o proxy são para testes, não tenho anda ativo ainda porém uso o server todo dia.

####################################################
############### SQUID AUTENTICADO ##################
##### Leonardo Ortiz ###############################
####################################################

http_port 3128
visible_hostname linux
error_directory /usr/share/squid3/errors/pt-br
httpd_suppress_version_string on
cache_mgr servidor@formigari.com
dns_nameservers 8.8.8.8 200.175.5.139
mime_table /usr/share/squid3/mime.conf
#strip_query_terms off
pipeline_prefetch on
half_closed_clients off

######### rede, #######
acl rede src 192.168.254.0/24
http_access deny !rede

########## liberar msn para todo mundo #########
acl msn urlpath_regex -i gateway.dll
acl msn urlpath_regex -i passport.com
http_access allow msn

######## users autenticados que nao recebem bloqueios #########
acl permitidos proxy_auth leo
http_access allow permitidos

########## bloqueio #######
#acl almoco time 12:00-13:30
acl bloqueados url_regex -i "/etc/squid3/config/bloqueados"
#http_access allow bloqueados almoco
http_access deny bloqueados

########## autenticao ########
auth_param basic realm Pimenta
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

######### cache #########
cache_mem 2048 MB
maximum_object_size_in_memory 4 MB
maximum_object_size 100 MB
minimum_object_size 4 KB
cache_dir diskd /squid/cache 40000 128 512 Q1=64 Q2=72
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 1440
refresh_pattern ^gopher: 15 0% 1440
refresh_pattern . 15 20% 1440
cache_replacement_policy heap LRU
hierarchy_stoplist cgi-bin?

ipcache_size 2048
ipcache_low 90
ipcache_high 95

acl manager proto cache_object
#acl all src all
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access deny all



FIREWALL



#!/bin/bash
echo Script criado por: Leonardo Ortiz
PTLB="/etc/FIREWALL/liberadas"

iniciar(){
#### Limpar regras ##

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat
iptables -X

#### Politica padrã####
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

######## Abilita roteamento e redireciona para o Squid ####
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
##iptables -t nat -A PREROUTING -s 192.168.254.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#### LIBERA TRAFEGO ####

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.254.0/255.255.255.0 -j ACCEPT

########## protecoes ################

######## BLOQUEIO PING DA MORTE #
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP

######## BLOQUEIO SYN-FLOD ######
echo "0" > /proc/sys/net/ipv4/tcp_syncookies #faz o servidor responder um syn com um cookie que identifica o cliente
#iptables -A INPUT -p tcp --syn -j DROP
#iptables -A INPUT -m limit --limit 1/s --limit-burst 4 -j DROP

####### ANTI-SPOOFING #########
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter #responder a pacotes na interface que foram originados

####### SCANNERS ##############
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

####### Bloquear pacotes invalidos ####
iptables -A INPUT -m state --state INVALID -j DROP

######### bloqueio de sites diversos ###########
###### bloquear facebook ######

iptables -A FORWARD -m string --algo bm --string "facebook" -m time --timestart 12:00 --timestop 13:30 -j ACCEPT
iptables -A FORWARD -m string --algo bm --string "facebook" -j DROP

########### Liberar Portas e state ##############

###### FLUXO DE PACOTES #####
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

####### Liberar Portas INPUT ######
for lib in `cat $PTLB`; do
iptables -A INPUT -p tcp -m multiport --port $lib -j LOG --log-prefix "INPUT"
iptables -A INPUT -p tcp -m multiport --port $lib -j ACCEPT
iptables -A INPUT -p udp -m multiport --port $lib -j ACCEPT
done
####### liberar FORWARD #
for lib in `cat $PTLB`; do
iptables -A FORWARD -p tcp -m multiport --dport $lib -j LOG --log-prefix "FORMARD"
iptables -A FORWARD -p tcp -m multiport --dport $lib -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dport $lib -j ACCEPT
done
}

parar(){
iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâtros start ou stop"
esac

leo4b
(usa Outra)

Enviado em 02/08/2012 - 09:54h

ninguem ? :x Só quero saber se alguem ja passou por isso, é um delay, da uma vez ou outra como se ele demorasse pra acessar o cache ou para achar o dominio no servidor dns... Ha e sem a porta 53 e CIA estão lberadas

johnnyb
(usa Fedora)

Enviado em 02/08/2012 - 15:24h

Amigo eu tive problemas com essas regras no firewall creio eu que foi por falta de conhecimento intao
estude um pouco mais sobre iptables ;)

######## BLOQUEIO SYN-FLOD ######
echo "0" > /proc/sys/net/ipv4/tcp_syncookies #faz o servidor responder um syn com um cookie que identifica o cliente
#iptables -A INPUT -p tcp --syn -j DROP
#iptables -A INPUT -m limit --limit 1/s --limit-burst 4 -j DROP

####### ANTI-SPOOFING #########
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter #responder a pacotes na interface que foram originados

####### SCANNERS ##############
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

amigo esse tipo de limit e basicamente um tiro no pe por que se alguem te atcada somente ele vai fazer as requisições e os verdadeiros pacotes serao dropados
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT


esperimente navegar com essas regras comentadas e veja se tem diferença

seu squid tambem ta prescisando de uma refurmulada o squid trabalha da seguinte maneira ele le de cima pra baixo e tente organizar

acl depois de acl e assim por diante

leo4b
(usa Outra)

Enviado em 02/08/2012 - 23:17h

Você diz, comentar essas regras ai ? até a do syncookies? Vou fazer os testes com tais regras desabilitadas, fod que o problema das as vezes, por exemplo, quando autentico no squid, ele demora uns 15 s pra entrar na pag inicial saca.

O squid eu fiz meio porcado mesmo a orgnização dele, vou dar uma ajustada sim, você sabe como deixar ele bonitinho com os ### ou === que nem o pessoal costuma fazer ? obrigado.



Dei uma ajustada no squid, só não testei porque n estou no trampo,, mas seria algo mais ou menos assim né?

####################################################
############### SQUID AUTENTICADO ##################
##### Leonardo Ortiz ###############################
####################################################

http_port 3128
visible_hostname linux
error_directory /usr/share/squid3/errors/pt-br
httpd_suppress_version_string on
cache_mgr servidor@formigari.com
dns_nameservers 8.8.8.8 200.175.5.139
mime_table /usr/share/squid3/mime.conf
strip_query_terms off
pipeline_prefetch on
half_closed_clients off

######### rede, #######
acl rede src 192.168.254.0/24

######### cache #########
cache_mem 2048 MB
maximum_object_size_in_memory 4 MB
maximum_object_size 100 MB
minimum_object_size 4 KB
cache_dir diskd /squid/cache 40000 128 512 Q1=64 Q2=72
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 1440
refresh_pattern ^gopher: 15 0% 1440
refresh_pattern . 15 20% 1440
cache_replacement_policy heap LRU
hierarchy_stoplist cgi-bin?

ipcache_size 2048
ipcache_low 90
ipcache_high 95

acl manager proto cache_object
#acl all src all
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

########## autenticao ########
auth_param basic realm Pimenta
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd

######## ACLS CONTROLE ########
acl msn urlpath_regex -i gateway.dll #liberar msn
acl msn urlpath_regex -i passport.com #liberar msn
acl permitidos proxy_auth leo #########users sem bloqueio#
acl autenticados proxy_auth REQUIRED
acl bloqueados url_regex -i "/etc/squid3/config/bloqueados"

########## autenticao ########
auth_param basic realm Pimenta
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd

####### liberar #########
#### config padrão #####
http_access allow localhost
http_access allow manager localhost
##### config acls #####
http_access allow msn
http_access allow permitidos
http_access allow autenticados

####### Bloquear #########
#### config padrão #####
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
####### config acls ######
###### bloqueio ####
http_access deny !rede
http_access deny bloqueados
http_access deny all

johnnyb
(usa Fedora)

Enviado em 03/08/2012 - 14:25h

faz assim usa seu squid antigo e comente apenas as regras defirewall
porte a versao do seu squid comando "squid -v"
assim porei teajudar mais pois as regras mudam um pouco conforme a versao do squid
blz :D

leo4b
(usa Outra)

Enviado em 03/08/2012 - 15:46h

tranquilo :) o squid é o o v 3.1.6

Seguinte, dei uma arrumada no squid, agora ta mais organizadinho. Vo posta-lo aqui:


####################################################
############### SQUID AUTENTICADO ##################
##### Leonardo Ortiz ###############################
####################################################

########## autenticao ########
auth_param basic realm Pimenta
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
auth_param basic credentialsttl 2 hour
auth_param basic children 5

############## Configs gerais ######################
http_port 3128
visible_hostname linux
error_directory /usr/share/squid3/errors/pt-br
httpd_suppress_version_string on
cache_mgr servidor@formigari.com

################# CONFIGS INTERNAS SQUID #############

dns_nameservers 8.8.8.8 200.175.5.139
mime_table /usr/share/squid3/mime.conf
strip_query_terms off
pipeline_prefetch on
half_closed_clients off
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

######### rede, #######
acl rede src 192.168.254.0/24

################# CACHE #########################

cache_mem 2048 MB
maximum_object_size_in_memory 4 MB
maximum_object_size 100 MB
minimum_object_size 4 KB
cache_dir diskd /squid/cache 40000 128 512 Q1=64 Q2=72
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 1440
refresh_pattern ^gopher: 15 0% 1440
refresh_pattern . 15 20% 1440
cache_replacement_policy heap LRU

ipcache_size 2048
ipcache_low 90
ipcache_high 95

################# ACLs #########################

acl manager proto cache_object
#acl all src all
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl QUERY urlpath_regex
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

######## ACLS CONTROLE ########
acl msn urlpath_regex -i gateway.dll #liberar msn
acl msn urlpath_regex -i passport.com #liberar msn
acl bloqueados url_regex -i "/etc/squid3/config/bloqueados"
acl permitidos proxy_auth leo #########users sem bloqueio#
acl autenticados proxy_auth REQUIRED

####### Bloquear #########
#### DENY config padrã#####
http_access deny !rede
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow msn
http_access allow permitidos
http_access deny bloqueados
http_access allow autenticados
http_access deny all



O iptables, comentei os valores, n senti diferenca não, esqueci de comentar, mas creio que n seja o firewall pq mesmo com as linhas padrões, so para roteamento, ele dava o problema, parece ser algo da config do squid, demora para acessar o cache ou algo assim, tenho quase certeza que é o hardware o problema, por isso quero ver se a config está ok.

Aproveitando, cara, n consigo fazer o sarg rodar minuto a minuto, entrei no crontab -e e coloquei */1 * * * root sarg não vai, ja criei script, tbm n vai, tem alguma sugestão ?

johnnyb
(usa Fedora)

Enviado em 04/08/2012 - 08:22h

Amigo use esse exemplo e veja se sente diferença quantos usuarios vc tem ? talvez seja mais recomendado um banco de dados em mysql

#!/bin/sh

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat
echo "Limpando as regras ..................................[ OK ]"

# Definindo a Politica Default das Cadeias
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo "Politica Default das Cadeias ........................[ OK ]"

###
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o <placaexter> -s 192.168.1.0/24 -j MASQUERADE
echo "habilitando a navegação .............................[ OK ]"

# Redireciona porta 80 para 3128 (squid)
#iptables -A INPUT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -i <placaloca> -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i <placaloca> -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i <placaloca> -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i <placaloca> -p tcp --dport 5080 -j ACCEPT

johnnyb
(usa Fedora)

Enviado em 04/08/2012 - 08:46h

####################################################
############### SQUID AUTENTICADO ##################
##### Leonardo Ortiz ###############################
####################################################

http_port 3128

visible_hostname linux
pid_filename /var/run/squid.pid
httpd_suppress_version_string on
cache_mgr servidor@formigari.com
dns_nameservers 8.8.8.8
dns_nameservers 200.175.5.139
mime_table /usr/share/squid3/mime.conf
strip_query_terms off
pipeline_prefetch on
half_closed_clients off
error_directory /usr/share/squid3/errors/pt-br

################# CACHE #########################
### essa regra diz para squid nao armazenar itens dinamicos no cache
hierarchy_stoplist cgi-bin?
acl QUERY urlpath_regex cgi-bin?
no_cache deny QUERY

# se seu servidor for dedicado pode deixar metade da sua memoria
# caso nao deixe 1/4
cache_mem 2048 MB
maximum_object_size_in_memory 4 MB
maximum_object_size 100 MB
minimum_object_size 4 KB

### lembrando que tera que recriar o chache
cache_dir ufs /squid/cache 40000 128 512
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_swap_low 90
cache_swap_high 95
refresh_pattern ^ftp: 15 20% 1440
refresh_pattern ^gopher: 15 0% 1440
refresh_pattern . 15 20% 1440
cache_replacement_policy heap LRU

ipcache_size 2048
ipcache_low 90
ipcache_high 95


########## autenticao ########
auth_param basic realm Pimenta
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
auth_param basic credentialsttl 2 hour
auth_param basic children 5

# *** range de ip da rede
acl rede src 192.168.254.0/24

# *** Acl Padrao
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl autenticados proxy_auth REQUIRED

# *** usuarios sem bloqueio
acl permitidos proxy_auth leo

# *** regras de bloqueio
acl msn urlpath_regex -i gateway.dll #liberar msn
acl msn urlpath_regex -i passport.com #liberar msn
acl bloqueados url_regex -i "/etc/squid3/config/bloqueados"


http_access deny !rede
http_access allow msn
http_access allow permitidos
http_access deny bloqueados
http_access allow autenticados
http_access deny all


amigo tente assim e veja se tem alguma diferença

leo4b
(usa Outra)

Enviado em 16/08/2012 - 09:05h

Meu caro, muito obrigado pela ajuda, desculpe a demora a reponder.
Resolvi o meu problema instalando e configurando bind e colocando no name_server o 127.0.0.1.
Eu sabia que não era meu squid.conf porque a navegaçao era normal, mas as vezes ele demorava, tinha cara de ser dns desde o inicio :x

Até agora tudo ok após feitas essas alterações. Porém estou meio encucado, temos um server windows para dns, por isso não avia tentado instalar o bind no linux...
ABraços..

johnnyb
(usa Fedora)

Enviado em 20/08/2012 - 11:44h

Amigo :D que bom que deu tudo certo, mais eu nao falei que seu squid tava errado apenas sugeri que vc organizasse para facilitar as coisas para vc pois digamos que iria trocar o tipo de autenticação pois nsca
nao esta lhe servindo mais, tudo junto fica mais facil e pratico pois se vc deixa uma linha se quer ele da erro ;)

e sugeri o troca do diskd por ufs por esses motivos

segundo o pessoal o diskd é significantemente mais rápido. para poder usar ele precisa preparar o kernel adaptando ele ao uso adequado da memoria e depois pode usar o diskd no squid.
Desvantagem que o HD fica muito mais vulnerável a falhas de energia. Usando diskd sem nobreak em condições pode ser fatal para seu sistema.



agora quanto a instalação do blind a meu ver vc pois ele apenas local, deve ter relação as regras iptables
pois ela devem ter um certo tipo de exigencia em relação ao dns,

leo4b
(usa Outra)

Enviado em 20/08/2012 - 12:35h

Então, o bind coloquei apenas para cache dns, estou usando o iptables da mesma forma que antes, apenas para testes e ficou ok também, mas já dei uma ajustada nas regras do iptables e no squid, acho que está tudo redondinho :), obrigado pela ajuda.