Estimados: Tengo un problema el cual asocie a iptables con squid; resulta que el script funciona bién durante algunas horas pero derrepente se marea (se vuelve inestable y deja sin correo o sin internet a la oficina), estoy usando CentOS 5.5 antes con Centos 4.4 funciona lo mas bién y cuando reacondicionamos la red empezo a fallar.
les adjunto el IPTABLES ............ iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s REDINTERNA/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP # Abrimos Puertos ................................................................ # POP:110 iptables -A INPUT -p tcp -s 0/0 -d REDINTERNA/24 --destination-port 110 --syn -j ACCEPT # SMTP:25 iptables -A INPUT -p tcp -s 0.0.0.0/0 -d REDINTERNA/24 --destination-port 25 --syn -j ACCEPT # ................................................................................ ............ A ver si alguien me puede decir que esta mal
El squid no lo tengo completo por razones laborales pero les adjunto uno de los modelos que hice
................. acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
http_port 3128 http_port 8080 cache_mem 256 MB reference_age 2 month cache_dir ufs /var/spool/squid 3000 16 256 visible_hostname proxy.rioitata.cl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl REDINTERNA src REDINTERNA/255.255.255.0
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION inocentes !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_access allow REDINTERNA !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all ................
A ver si alguien tiene alguna idea
visible_hostname hostnamedelfirewall (fato eso en squid)
Pero que dicen los logs ??? message y access.log
El 26 de mayo de 2010 16:23, Pablo Zuñiga pabloze@gmail.com escribió:
Estimados: Tengo un problema el cual asocie a iptables con squid; resulta que el script funciona bién durante algunas horas pero derrepente se marea (se vuelve inestable y deja sin correo o sin internet a la oficina), estoy usando CentOS 5.5 antes con Centos 4.4 funciona lo mas bién y cuando reacondicionamos la red empezo a fallar.
les adjunto el IPTABLES ............ iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s REDINTERNA/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP # Abrimos Puertos ................................................................ # POP:110 iptables -A INPUT -p tcp -s 0/0 -d REDINTERNA/24 --destination-port 110 --syn -j ACCEPT # SMTP:25 iptables -A INPUT -p tcp -s 0.0.0.0/0 -d REDINTERNA/24 --destination-port 25 --syn -j ACCEPT # ................................................................................ ............ A ver si alguien me puede decir que esta mal
El squid no lo tengo completo por razones laborales pero les adjunto uno de los modelos que hice
................. acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
http_port 3128 http_port 8080 cache_mem 256 MB reference_age 2 month cache_dir ufs /var/spool/squid 3000 16 256 visible_hostname proxy.rioitata.cl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl REDINTERNA src REDINTERNA/255.255.255.0
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com . windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION inocentes !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_access allow REDINTERNA !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all ................
A ver si alguien tiene alguna idea
Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Compañero, si reinicias el squid todo vuelve a la normalidad?...que cantidad de usuarios se cuelgan a ese servicio?..
Carlos R!
El 26 de mayo de 2010 16:25, Anthony Mogrovejo tony001983@gmail.comescribió:
visible_hostname hostnamedelfirewall (fato eso en squid)
Pero que dicen los logs ??? message y access.log
El 26 de mayo de 2010 16:23, Pablo Zuñiga pabloze@gmail.com escribió:
Estimados:
Tengo un problema el cual asocie a iptables con squid; resulta que el script funciona bién durante algunas horas pero derrepente se marea (se vuelve inestable y deja sin correo o sin internet a la oficina), estoy usando CentOS 5.5 antes con Centos 4.4 funciona lo mas bién y cuando reacondicionamos la red empezo a fallar.
les adjunto el IPTABLES ............ iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s REDINTERNA/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP # Abrimos Puertos ................................................................ # POP:110 iptables -A INPUT -p tcp -s 0/0 -d REDINTERNA/24 --destination-port 110 --syn -j ACCEPT # SMTP:25 iptables -A INPUT -p tcp -s 0.0.0.0/0 -d REDINTERNA/24 --destination-port 25 --syn -j ACCEPT # ................................................................................ ............ A ver si alguien me puede decir que esta mal
El squid no lo tengo completo por razones laborales pero les adjunto uno de los modelos que hice
................. acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
http_port 3128 http_port 8080 cache_mem 256 MB reference_age 2 month cache_dir ufs /var/spool/squid 3000 16 256 visible_hostname proxy.rioitata.cl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl REDINTERNA src REDINTERNA/255.255.255.0
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com . windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION inocentes !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_access allow REDINTERNA !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all ................
A ver si alguien tiene alguna idea
Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Anthony Mogrovejo cel 01-995319333 Consultor IT Linux User # 433253 Ubuntu User # 9562 www.anferinux.blogspot.com twitter: @kde_tony
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El día 26 de mayo de 2010 17:29, carlos restrepo restrcarlos@gmail.com escribió:
Compañero, si reinicias el squid todo vuelve a la normalidad?...que cantidad de usuarios se cuelgan a ese servicio?..
Carlos R!
El 26 de mayo de 2010 16:25, Anthony Mogrovejo tony001983@gmail.com escribió:
visible_hostname hostnamedelfirewall (fato eso en squid) Pero que dicen los logs ??? message y access.log
El 26 de mayo de 2010 16:23, Pablo Zuñiga pabloze@gmail.com escribió:
Estimados: Tengo un problema el cual asocie a iptables con squid; resulta que el script funciona bién durante algunas horas pero derrepente se marea (se vuelve inestable y deja sin correo o sin internet a la oficina), estoy usando CentOS 5.5 antes con Centos 4.4 funciona lo mas bién y cuando reacondicionamos la red empezo a fallar.
les adjunto el IPTABLES ............ iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s REDINTERNA/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP # Abrimos Puertos ................................................................ # POP:110 iptables -A INPUT -p tcp -s 0/0 -d REDINTERNA/24 --destination-port 110 --syn -j ACCEPT # SMTP:25 iptables -A INPUT -p tcp -s 0.0.0.0/0 -d REDINTERNA/24 --destination-port 25 --syn -j ACCEPT # ................................................................................ ............ A ver si alguien me puede decir que esta mal
El squid no lo tengo completo por razones laborales pero les adjunto uno de los modelos que hice
................. acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
http_port 3128 http_port 8080 cache_mem 256 MB reference_age 2 month cache_dir ufs /var/spool/squid 3000 16 256 visible_hostname proxy.rioitata.cl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl REDINTERNA src REDINTERNA/255.255.255.0
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION inocentes !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_access allow REDINTERNA !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all ................
A ver si alguien tiene alguna idea
Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Anthony Mogrovejo cel 01-995319333 Consultor IT Linux User # 433253 Ubuntu User # 9562 www.anferinux.blogspot.com twitter: @kde_tony
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Carlos Restrepo M. Administrador de Sistemas Profesional Linux LPI 101 - 102
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
@Anthony: visible_hostname si esta en la configuración. Los logs en estos momentos no los tengo. @Carlos : Antes cuando reiniciabamos el servicio se caia; hice un programa en C que me reconfoguraba los servicios y al reiniciar el tecnico solo lo llamaba (/etc/init.d/programa restart); me cargaba el ip_forward, y reiniciaba el squid/iptables pero cuando eran mas de 4 IPś se colgaba por lo que rehice el iptables y ahora solo se marea pero a los jefes no les importa mucho eso xD. lo raro es que el outlook xpress anda bien pero el MS outlook costo que levantara... a la 4ta version de iptables funciono. Lo raro es por que el servicio se marea; son alrededor de 32 clientes
Pablo, agrega la siguientes instrucciones:
1. /etc/security/limit.conf agrega al final del archivo lo siguiente:
* - nofile 2048 (lo puedes ir ampliando de acuerdo a la carga que tenga el squid de 1024 en 1024) yo tengo 1500 usuarios recurrentes y esta actualmente en 12288 ;-)
2. /etc/squid/squid.conf agrega lo siguiente:
max_filedesc 2048
Luego verifica que este bien la sintaxis con: squid -k reconfigure, si algo esta mal no se caera el servicio pero te dira que linea tiene error.
Finalmente deten el squid, (service squid stop) limpia la cache (squid -z ) e inicialo nuevamente con service squid start o /etc/init.d/squid start
Con lo anterior no se te debe bloquear nuevamente el squid, si vez que pasado un tiempo vuelve a ocurrir amplia un poco mas los valores.
A squid cuando le dan fuerte hay que ampliarle los descriptores de archivos que palabras mas palabras menos es lo que se hace con modificar los archivos en mencion.
Espero te sirva...
Saludos.
Carlos R!.
El 26 de mayo de 2010 16:39, Pablo Zuñiga pabloze@gmail.com escribió:
El día 26 de mayo de 2010 17:29, carlos restrepo restrcarlos@gmail.com escribió:
Compañero, si reinicias el squid todo vuelve a la normalidad?...que
cantidad
de usuarios se cuelgan a ese servicio?..
Carlos R!
El 26 de mayo de 2010 16:25, Anthony Mogrovejo tony001983@gmail.com escribió:
visible_hostname hostnamedelfirewall (fato eso en squid) Pero que dicen los logs ??? message y access.log
El 26 de mayo de 2010 16:23, Pablo Zuñiga pabloze@gmail.com escribió:
Estimados: Tengo un problema el cual asocie a iptables con squid; resulta que el script funciona bién durante algunas horas pero derrepente se marea (se vuelve inestable y deja sin correo o sin internet a la oficina), estoy usando CentOS 5.5 antes con Centos 4.4 funciona lo mas bién y cuando reacondicionamos la red empezo a fallar.
les adjunto el IPTABLES ............ iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s REDINTERNA/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP # Abrimos Puertos ................................................................ # POP:110 iptables -A INPUT -p tcp -s 0/0 -d REDINTERNA/24 --destination-port 110 --syn -j ACCEPT # SMTP:25 iptables -A INPUT -p tcp -s 0.0.0.0/0 -d REDINTERNA/24 --destination-port 25 --syn -j ACCEPT #
................................................................................
............ A ver si alguien me puede decir que esta mal
El squid no lo tengo completo por razones laborales pero les adjunto uno de los modelos que hice
................. acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
http_port 3128 http_port 8080 cache_mem 256 MB reference_age 2 month cache_dir ufs /var/spool/squid 3000 16 256 visible_hostname proxy.rioitata.cl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl REDINTERNA src REDINTERNA/255.255.255.0
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION inocentes !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_access allow REDINTERNA !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all ................
A ver si alguien tiene alguna idea
Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Anthony Mogrovejo cel 01-995319333 Consultor IT Linux User # 433253 Ubuntu User # 9562 www.anferinux.blogspot.com twitter: @kde_tony
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Carlos Restrepo M. Administrador de Sistemas Profesional Linux LPI 101 - 102
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
@Anthony: visible_hostname si esta en la configuración. Los logs en estos momentos no los tengo. @Carlos : Antes cuando reiniciabamos el servicio se caia; hice un programa en C que me reconfoguraba los servicios y al reiniciar el tecnico solo lo llamaba (/etc/init.d/programa restart); me cargaba el ip_forward, y reiniciaba el squid/iptables pero cuando eran mas de 4 IPś se colgaba por lo que rehice el iptables y ahora solo se marea pero a los jefes no les importa mucho eso xD. lo raro es que el outlook xpress anda bien pero el MS outlook costo que levantara... a la 4ta version de iptables funciono. Lo raro es por que el servicio se marea; son alrededor de 32 clientes
-- Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Pablo, una mas que olvide comentarte.
abre una nueva terminal y verifica que los cambios estén activos empleando el siguiente comando:
ulimit -Ha debes visualizar un campo que diga:
open files (-n) 2048
Si visualizas un campo como el anterior a la salida del comando ulimt -Ha tomo el cambio correspondiente.
Nota: te sugiero que después de hacer los cambios cierres todas las terminales que tengas abiertas u abras una nueva para ejecutar el comando ulimit, es posible que logras visualizar los cambios hasta que cierres todas las terminales y vuelvas a abrir una nuevamente.
Saludos,
Carlos R! El 26 de mayo de 2010 17:15, carlos restrepo restrcarlos@gmail.comescribió:
Pablo, agrega la siguientes instrucciones:
/etc/security/limit.conf agrega al final del archivo lo siguiente:
- nofile 2048 (lo puedes ir ampliando de acuerdo a la carga que
tenga el squid de 1024 en 1024) yo tengo 1500 usuarios recurrentes y esta actualmente en 12288 ;-)
/etc/squid/squid.conf agrega lo siguiente:
max_filedesc 2048
Luego verifica que este bien la sintaxis con: squid -k reconfigure, si algo esta mal no se caera el servicio pero te dira que linea tiene error.
Finalmente deten el squid, (service squid stop) limpia la cache (squid -z ) e inicialo nuevamente con service squid start o /etc/init.d/squid start
Con lo anterior no se te debe bloquear nuevamente el squid, si vez que pasado un tiempo vuelve a ocurrir amplia un poco mas los valores.
A squid cuando le dan fuerte hay que ampliarle los descriptores de archivos que palabras mas palabras menos es lo que se hace con modificar los archivos en mencion.
Espero te sirva...
Saludos.
Carlos R!.
El 26 de mayo de 2010 16:39, Pablo Zuñiga pabloze@gmail.com escribió:
El día 26 de mayo de 2010 17:29, carlos restrepo
restrcarlos@gmail.com escribió:
Compañero, si reinicias el squid todo vuelve a la normalidad?...que
cantidad
de usuarios se cuelgan a ese servicio?..
Carlos R!
El 26 de mayo de 2010 16:25, Anthony Mogrovejo tony001983@gmail.com escribió:
visible_hostname hostnamedelfirewall (fato eso en squid) Pero que dicen los logs ??? message y access.log
El 26 de mayo de 2010 16:23, Pablo Zuñiga pabloze@gmail.com
escribió:
Estimados: Tengo un problema el cual asocie a iptables con squid; resulta que el script funciona bién durante algunas horas pero derrepente se marea (se vuelve inestable y deja sin correo o sin internet a la oficina), estoy usando CentOS 5.5 antes con Centos 4.4 funciona lo mas bién y cuando reacondicionamos la red empezo a fallar.
les adjunto el IPTABLES ............ iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -t nat -A POSTROUTING -s REDINTERNA/24 -o eth1 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP # Abrimos Puertos ................................................................ # POP:110 iptables -A INPUT -p tcp -s 0/0 -d REDINTERNA/24 --destination-port 110 --syn -j ACCEPT # SMTP:25 iptables -A INPUT -p tcp -s 0.0.0.0/0 -d REDINTERNA/24 --destination-port 25 --syn -j ACCEPT #
................................................................................
............ A ver si alguien me puede decir que esta mal
El squid no lo tengo completo por razones laborales pero les adjunto uno de los modelos que hice
................. acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
http_port 3128 http_port 8080 cache_mem 256 MB reference_age 2 month cache_dir ufs /var/spool/squid 3000 16 256 visible_hostname proxy.rioitata.cl acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl REDINTERNA src REDINTERNA/255.255.255.0
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION inocentes !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_access allow REDINTERNA !nosaleainternet !saleipmedia !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all ................
A ver si alguien tiene alguna idea
Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Anthony Mogrovejo cel 01-995319333 Consultor IT Linux User # 433253 Ubuntu User # 9562 www.anferinux.blogspot.com twitter: @kde_tony
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Carlos Restrepo M. Administrador de Sistemas Profesional Linux LPI 101 - 102
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
@Anthony: visible_hostname si esta en la configuración. Los logs en estos momentos no los tengo. @Carlos : Antes cuando reiniciabamos el servicio se caia; hice un programa en C que me reconfoguraba los servicios y al reiniciar el tecnico solo lo llamaba (/etc/init.d/programa restart); me cargaba el ip_forward, y reiniciaba el squid/iptables pero cuando eran mas de 4 IPś se colgaba por lo que rehice el iptables y ahora solo se marea pero a los jefes no les importa mucho eso xD. lo raro es que el outlook xpress anda bien pero el MS outlook costo que levantara... a la 4ta version de iptables funciono. Lo raro es por que el servicio se marea; son alrededor de 32 clientes
-- Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores && Ing. (E) en computación e informática Desarrollo && programación Web, Soporte Computacional OSUM Leader IPVG Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl MSN && Gtalk: pabloze@gmail.com Skype: ed00m_ ======================================================= _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-- Carlos Restrepo M. Administrador de Sistemas Profesional Linux LPI 101 - 102
No he seguido el hilo desde el inicio, pero comento mi experiencia, cuando el squid se queda sin descriptores suele pasar que en la red hay trafico basura tipo syn flood generado por virus, analiza el trafico y mira las conexiones de salida tipo syn con destino el puerto tcp 445.
Saludos y si no es relacionado mil disculpas
Aldo Cobos Mensaje enviado desde mi terminal BlackBerry® de Porta
-----Original Message----- From: carlos restrepo restrcarlos@gmail.com Date: Wed, 26 May 2010 17:18:33 To: centos-es@centos.org Subject: Re: [CentOS-es] Problemas con SQUID
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El día 26 de mayo de 2010 18:22, aldocobos@gmail.com escribió:
No he seguido el hilo desde el inicio, pero comento mi experiencia, cuando el squid se queda sin descriptores suele pasar que en la red hay trafico basura tipo syn flood generado por virus, analiza el trafico y mira las conexiones de salida tipo syn con destino el puerto tcp 445.
Saludos y si no es relacionado mil disculpas
Aldo Cobos Mensaje enviado desde mi terminal BlackBerry® de Porta
-----Original Message----- From: carlos restrepo restrcarlos@gmail.com Date: Wed, 26 May 2010 17:18:33 To: centos-es@centos.org Subject: Re: [CentOS-es] Problemas con SQUID
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Estimados: El problema del bloqueo del proxy cuando se mareaba (de un dia para otro) lo damos por solucionado, lo configuramos transparante para no tener problemas; pero sigue sin filtrar les adjunto el squid para ver si es algo mio o dentro de los archivos de reglas
.... acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT
visible_hostname proxy.dominio http_port 3128 transparent http_port 8080 transparent cache_mem 256 MB cache_dir ufs /var/spool/squid 20000 16 256 #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl reditata src RED_INTERNA/SM_INTERNA
#### Redes Completas ### Red clientes acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion" acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet" acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media" ### FIN Red clientes
### No utilizados #acl jefes src "/etc/squid/usuariosip/jefes" #acl administrativos src "/etc/squid/usuariosip/administrativos" #acl basico src "/etc/squid/usuariosip/basico"
### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com acl listaextensiones urlpath_regex -i "/etc/squid/restricciones/listaextenciones" acl inocentes url_regex "/etc/squid/restricciones/inocentes" acl archivospeligrosos urlpath_regex -i "/etc/squid/restricciones/archivospeligrosos" acl bloqueados url_regex "/etc/squid/restricciones/bloqueados" ### FIN Especificaciones
#### Acceso a Internet #### http_access allow sinRESTRICCION http_access deny !Safe_ports !SSL_ports http_access deny CONNECT !SSL_ports http_access allow manager localhost http_access deny manager http_access allow reditata !nosaleainternet !listaextensiones !archivospeligrosos !bloqueados http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual httpd_accel_port 8080 httpd_accel_with_proxy on log_fqdn on cache_effective_user squid cache_effective_group squid httpd_accel_uses_host_header on icp_access allow all max_filedesc 2048 ie_refresh on access_log /var/log/squid/access.log squid
... Cualquier sugerencia es bienvenida
-
aldocobos@gmail.com -
Anthony Mogrovejo -
carlos restrepo -
Pablo Zuñiga