Problemas com o Squid e google.com [RESOLVIDO]

1. Problemas com o Squid e google.com [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 21/09/2012 - 11:51h

Olá, bom dia.

Estou com um problema no meu Squid3. As máquinas que acessam através do squid o google.com às vezes funcionanm e às vezes apresentam mensagens aleatórias no squid:
No DNS Records
(101) Network is unreachable

Quem está fora do squid navega normal.

Já troquei o dns no servidor e nas estações e nada.

Até passei o proxy de autenticado para transparente, mas nada que tentei resolveu.

Meu servidor é Ubuntu 12.04 x64

Nele eu mudei o dns para o google, meu provedor e opendns, mas nenhum deles resolveu.

Alguém tem idéia do que pode ser? Desde já agradeço.

Seguem minhas confs:

squid.conf


http_port 3128 transparent
visible_hostname SERVIDOR

error_directory /usr/share/squid3/errors/Portuguese

cache_mem 4096 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 21 59 70 80 210 280 443 465 488 563 587 777 901 1863 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl ips_liberados src "/etc/squid3/ips_liberados"
http_access allow ips_liberados

#Bloqueia acessos de fora da rede local antes de passar pela autenticacao
acl redelocal src 192.168.0.0/24
http_access deny !redelocal

#Outras regras de restricao vao aqui, de forma que o aceso seja negado
#antes mesmo de passar pela autenticacao

#Bloqueia sites indesejados
acl bloqueados url_regex -i "/etc/squid3/bloqueados"
http_access deny bloqueados

#Bloqueia palavras indesejadas na url
acl palavrasproibidas dstdom_regex "/etc/squid3/palavrasproibidas"
http_access deny palavrasproibidas

# Website Navigation restricted - lunch time
#acl net_local src 192.168.0.0/255.255.255.0
#acl bsites url_regex "/etc/squid3/time_block"
#acl lunch time MTWHF 12:00-13:15
#http_access deny net_local bsites !lunch

# Libera sites especificos de autenticacao
acl sites_liberados url_regex -i "/etc/squid3/sites_liberados"
http_access allow sites_liberados

# Liberacao MSN
acl msn url_regex -i "/etc/squid3/msn"
http_access allow !msn

#Bloqueia download de extensoes indesejadas
#acl extban url_regex -i \.avi \.mp3 \.torrent \.wmv \.iso \.mpg \.mpeg
#http_access deny extban

#Autentica o usuario ncsa_auth:
#auth_param basic realm Acesso restrito - digite seu login e senha
#authenticate_ip_ttl 5 minutes
#auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd
#acl autenticados proxy_auth REQUIRED
#http_access allow autenticados

#Libera o acesso da rede local e do localhost para os autenticados,
#bloqueia os demais:
http_access allow localhost
http_access allow redelocal
http_access deny all


------------------------------------------------------------------------------

Firewall


#!/bin/bash
# Local

iniciar(){

#Loading modules
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#Connection sharing
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Connection sharing activated"

# IPs excluded from Squid
#CSRV
iptables -t nat -I PREROUTING -s 192.168.0.81 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.81 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.81 -j ACCEPT

#Accepts everything on local lan:
iptables -A INPUT -i eth0 -j ACCEPT

# Tap opening
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT

# Port opening
iptables -A INPUT -m multiport -p tcp --dports 22,953,1194,1723,5222,10000 -j ACCEPT
iptables -A INPUT -m multiport -p udp --dports 953,1194,1723

# Port opening for server
iptables -t nat -A PREROUTING -p tcp -i eth1 -m multiport --dport 1433,3389,5771 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A PREROUTING -p udp -i eth1 -m multiport --dport 1433,5771 -j DNAT --to-dest 192.168.0.100
iptables -t nat -A POSTROUTING -d 192.168.0.100 -j SNAT --to 192.168.0.1

# Pings limited to 1 per second:
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# SYN cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# IP spoofing protection:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

# Atack protection, drops invalid packets
iptables -A INPUT -m state --state INVALID -j DROP

# Loopback interface opening
iptables -A INPUT -i lo -j ACCEPT

# UDP ports blocking - 0 to 1023:
iptables -A INPUT -p udp --dport 0:1023 -j DROP

# Squid
#iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
#iptables -A FORWARD -p tcp --dport 80 -j DROP

# Proxy Transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Blocks new connections, blocking external access to the server, except the ports opened above:
iptables -A INPUT -p tcp --syn -j DROP
echo "Firewall rules are now active"

}

parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Firewall and sharing deactivated"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use start or stop"
esac
exit 0



  


2. MELHOR RESPOSTA

Thiago Dias
thiago_dias

(usa CentOS)

Enviado em 21/09/2012 - 12:37h

Tive um problema parecido onde os sites da google não abriam, mas foi verificado que era problema de rota para os sites da googlen a operadora. Será que não pode ser este o problema?

3. Re: Problemas com o Squid e google.com [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 21/09/2012 - 12:40h

thiago_dias escreveu:

Tive um problema parecido onde os sites da google não abriam, mas foi verificado que era problema de rota para os sites da googlen a operadora. Será que não pode ser este o problema?



Pois é Thiago, não liguei lá ainda. Vou verificar. Se for lá o problema eu dou um feedback aqui. Obrigado pela atenção.


4. Re: Problemas com o Squid e google.com [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 21/09/2012 - 12:42h

thiago_dias escreveu:

Tive um problema parecido onde os sites da google não abriam, mas foi verificado que era problema de rota para os sites da googlen a operadora. Será que não pode ser este o problema?


Mas será que tem a ver com a operadora? Quem não passa pelo squid acessa normalmente.


5. Re: Problemas com o Squid e google.com [RESOLVIDO]

Thiago Dias
thiago_dias

(usa CentOS)

Enviado em 21/09/2012 - 12:45h

marceloprimon escreveu:

thiago_dias escreveu:

Tive um problema parecido onde os sites da google não abriam, mas foi verificado que era problema de rota para os sites da googlen a operadora. Será que não pode ser este o problema?


Mas será que tem a ver com a operadora? Quem não passa pelo squid acessa normalmente.


Sendo assim temos que olhar com mais calma, pensei que as pessoas que passam por fora do proxy, utilizassem outra conexão, mas como eles usam a mesma conexão, temos que ver.


6. Re: Problemas com o Squid e google.com [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 21/09/2012 - 12:45h

Até a propaganda do google que aparece aqui nessa página dá erro:

Incapaz de determinar o endereço IP através do nome do host googleads.g.doubleclick.net


7. Re: Problemas com o Squid e google.com [RESOLVIDO]

Marcelo
marceloprimon

(usa Debian)

Enviado em 21/09/2012 - 13:01h

Então Thiago. O que é mais engraçado é que outros buscadores (yahoo por exemplo) funcionam normalmente. O negócio é com o Google mesmo. Pra baixar um aplicativo com google Chrome ou Earth da problema. Para acessar o google maps também dá problema.

Notei que se eu reinicio o serviço do squid o google volta a funcionar, mas depois de poucos minutos fica intermitente novamente.




8. Re: Problemas com o Squid e google.com [RESOLVIDO]

Thiago Dias
thiago_dias

(usa CentOS)

Enviado em 21/09/2012 - 14:06h

Estranho mesmo, poste a saida do log do squid para que a gente possa dar uma olhada:

Acesse o google e copie a saída do comando abaixo:

tail -f /var/log/squid/access.log

Abraços


9. Re: Problemas com o Squid e google.com [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 21/09/2012 - 15:32h

Cara, o problema está no seu script de firewall, organize-o da seguinte forma:

- AJUSTES
Módulos, habilitar roteamento, etc

- REGRAS DE NAT

- REGRAS DE INPUT

- REGRAS DE OUTPUT

- REGRAS DE FORWARD

E outro detalhe, vc não liberou a 53 (tcp e udp) em OUTPUT e em FORWARD.


10. Re: Problemas com o Squid e google.com [RESOLVIDO]

Thiago Dias
thiago_dias

(usa CentOS)

Enviado em 21/09/2012 - 15:51h

Se fosse problema de firewall, era para ele nunca abrir os sites do google, mais tem hora que abre e tem hora que não, sem contar que quando ele reinicia o squid abre normalmente durante um tempo. Por isso não pensei em nada com relação ao firewall.


11. Resolvido

Marcelo
marceloprimon

(usa Debian)

Enviado em 31/07/2013 - 18:37h

Nós acabamos trocando a internet por uma fibra e fiz a autenticação direto no servidor pelo pppoeconf.

Deu tudo certo. Obrigado a todos os que me ajudaram.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts