marceloprimon
(usa Debian)
Enviado em 21/09/2012 - 11:51h
Olá, bom dia.
Estou com um problema no meu Squid3. As máquinas que acessam através do squid o google.com às vezes funcionanm e às vezes apresentam mensagens aleatórias no squid:
No DNS Records
(101) Network is unreachable
Quem está fora do squid navega normal.
Já troquei o dns no servidor e nas estações e nada.
Até passei o proxy de autenticado para transparente, mas nada que tentei resolveu.
Meu servidor é Ubuntu 12.04 x64
Nele eu mudei o dns para o google, meu provedor e opendns, mas nenhum deles resolveu.
Alguém tem idéia do que pode ser? Desde já agradeço.
Seguem minhas confs:
squid.conf
http_port 3128 transparent
visible_hostname SERVIDOR
error_directory /usr/share/squid3/errors/Portuguese
cache_mem 4096 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 21 59 70 80 210 280 443 465 488 563 587 777 901 1863 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl ips_liberados src "/etc/squid3/ips_liberados"
http_access allow ips_liberados
#Bloqueia acessos de fora da rede local antes de passar pela autenticacao
acl redelocal src 192.168.0.0/24
http_access deny !redelocal
#Outras regras de restricao vao aqui, de forma que o aceso seja negado
#antes mesmo de passar pela autenticacao
#Bloqueia sites indesejados
acl bloqueados url_regex -i "/etc/squid3/bloqueados"
http_access deny bloqueados
#Bloqueia palavras indesejadas na url
acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas
# Website Navigation restricted - lunch time
#acl net_local src 192.168.0.0/255.255.255.0
#acl bsites url_regex "/etc/squid3/time_block"
#acl lunch time MTWHF 12:00-13:15
#http_access deny net_local bsites !lunch
# Libera sites especificos de autenticacao
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"
http_access allow sites_liberados
# Liberacao MSN
acl msn url_regex -i "/etc/squid3/msn"
http_access allow !msn
#Bloqueia download de extensoes indesejadas
#acl extban url_regex -i \.avi \.mp3 \.torrent \.wmv \.iso \.mpg \.mpeg
#http_access deny extban
#Autentica o usuario ncsa_auth:
#auth_param basic realm Acesso restrito - digite seu login e senha
#authenticate_ip_ttl 5 minutes
#auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
#acl autenticados proxy_auth REQUIRED
#http_access allow autenticados
#Libera o acesso da rede local e do localhost para os autenticados,
#bloqueia os demais:
http_access allow localhost
http_access allow redelocal
http_access deny all
------------------------------------------------------------------------------
Firewall
#!/bin/bash
# Local
iniciar(){
#Loading modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#Connection sharing
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Connection sharing activated"
# IPs excluded from Squid
#CSRV
iptables -t nat -I PREROUTING -s 192.168.0.81 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.81 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.81 -j ACCEPT
#Accepts everything on local lan:
iptables -A INPUT -i eth0 -j ACCEPT
# Tap opening
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
# Port opening
iptables -A INPUT -m multiport -p tcp --dports 22,953,1194,1723,5222,10000 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 953,1194,1723
# Port opening for server
iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 1433,3389,5771 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A PREROUTING -p udp -i eth1 -m multiport --dport 1433,5771 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1
# Pings limited to 1 per second:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# SYN cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# IP spoofing protection:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
# Atack protection, drops invalid packets
iptables -A INPUT -m state --state INVALID -j DROP
# Loopback interface opening
iptables -A INPUT -i lo -j ACCEPT
# UDP ports blocking - 0 to 1023:
iptables -A INPUT -p udp --dport 0:1023 -j DROP
# Squid
#iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 80 -j DROP
# Proxy Transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Blocks new connections, blocking external access to the server, except the ports opened above:
iptables -A INPUT -p tcp --syn -j DROP
echo "Firewall rules are now active"
}
parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Firewall and sharing deactivated"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use start or stop"
esac
exit 0