Sziasztok!
1. Első körben lenne két problémám a squid-el kapcsolatban. Az első, hogy hiába állítom be a tűzfalban, hogy ezen keresztül menjen a böngészés nem működik. Ami abban jelentkezik, hogy nem szűr. Ha a böngészőben beállítom a proxy címet akkor működik és a squid szabályok is úgy mennek ahogyan szeretném, de iptables-en keresztül nem hajlandó menni.
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Kettő hálókártya van a gépben a belső hálózat miatt. Próbáltam már mindkét hálókártyával, de semmi.
2. A másik gondom pedig az, hogy amikor elindul a rendszer akkor nagyon sokáig úgy látszik, hogy dolgozik a wincseszter és a bejelentkezés is kb. 10 percet vesz igénybe. Ha kiveszem a startup-ból a squid-et akkor minden normálisan megy induláskor, de mihelyt benne van egyszerűen az indulás borzasztó lassú. Egy idő után abbahagyja, de elég kivárni, meg aztán úgy gondolom, hogy nem is normális jelenség ez. Ennek mi lehet az oka?
Hozzászólások
up
nem akartam uj topicot nyitni, szinten squid
van valakinek tapasztalata msn forgalom szuresere squid-en. Nem blokkolni akarom, hanem rogziteni h ki kivel msn-ezik
van erre valami frappans megoldas?
személyiségi jogokkal mizu?
\o\ |o| /o/
http_port 3128 transparent
Ez megvolt és akkor sem ment.
"Kettő hálókártya van a gépben a belső hálózat miatt. Próbáltam már mindkét hálókártyával, de semmi."
Az iptablesnek ebben az esetben a belső hálózat felé néző kártya neve kell.
Az squid-ed utána restartoltad, ugye?
A kliensen átjárónak a squid-es gép volt megadva?
Természetesen a restart megvolt. Egyelőre még localhost-on sem meg. Vagyis ugyanazon a gépen.
Valami config félét pastebin-re kirakhatnál!
Igy csak találgatni lehet.
A 2-es problémára reflektálva: előfordulhat, hogy valami oknál fogva nem működik a névfeloldás, amikor a squid elindul, és ha sok DNS-nevet akar feloldani (pl. a tiltólistán lévő címeket), akkor a timeout-ok miatt előfordulhat, hogy látszólag nem történik semmi hosszú ideig. Próbáld meg kideríteni, hogy működik-e a névfeloldás a Squid indításakor (pl. tűzfal kiengedi-e a DNS-portokat).
Ha a merevlemez is keményen dolgozik ilyenkor, akkor könnyen lehet, hogy a cache-sel operál valamit a squid. Ez Debiannél, ha csomagból telepítetted a squidet, a /var/spool/squid könyvtárban van. Nézd meg a könyvtár méretét, hátha túl nagyra nőtt. Ezzel kapcsolatban itt egy hasznos infó a Squid Wiki oldaláról:
"Squid-2.6 and later contain mechanisms which will automatically detect dirty information in both the cache directories and swap.state file. When squid starts up it runs these validation and security checks. The objects which fail for any reason are automatically purged from the cache."
http://wiki.squid-cache.org/SquidFaq/OperatingSquid#I_want_to_restart_S…
Ha több(tíz) GB-osra hízott a cache, akkor simán lehet, hogy ez okozza a lassú indulást.
Az is jo, ha squid-et -D opcioval inditod, akkor nem ragaszkodik a DNS-hez. Kesobb, ha nincs nevfelodas, azt ugyis eszreveszed :)
Toni
Hali!
Probald meg igy:
Ahol xxx.xxx.xxx.xxx es ethX a belso halo fele mutato IP es halokartya.
Szerk.: Es lehetoleg a szabalyok elejen legyen valahol.
---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!
Nálunk így működik a transzparens proxy:
iptables -t nat -I PREROUTING -p tcp -s $LAN_SUBNET --dport 80 -j REDIRECT --to-port 3128
Debian Squeeze + iptables v1.4.8
Érdemes megfigyelni, hogy nem csak interfészre, de forrás IP-tartományra is beállítható a szabály (ami interfésztől független).
Esetleg még hasznos infó lehet (iptables manpage-ből):
"It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the 127.0.0.1 address)."
Vagyis, ha eth1-en jön be a csomag, akkor annak az elsődleges IP-címére fogja NAT-olni a csomagot.
Az első probléma megoldódott. Viszont a második probléma még mindig fennáll. Egyszerűen nem értem, hogy miért csinálja. Ha bekapcsolom a squid-ben a squidGuard-ot és a másik gép (mindössze egy darab) csatlakozik a netre elkezd dolgozni ezerrel a wincseszter. Azt gondolom, hogy egy core i5-ős 8GB rammal rendelkező gépnek nem lenne szabad ilyet művelnie. Az előző szerverem egy régi PIII-as compaq kis gép volt és azon is futott squid és soha ilyet nem csinált. Szóval ezzel lehet valamit kezdeni? Már indítottam a -D kapcsolóval is, de ugyanaz.
talán ez kimaradt:
/usr/bin/squidguard -C all
Köszönöm. Azt hiszem ez volt a megoldás.
Az első problémára mi lett a megoldás?
Tűzfalszabály volt a hiba. A fenti szabályok jók csak javítani kellett a csatolómra. Illetve külön hálózatra állítottam a két kártyát, az internet felőlit és a belső hálózat felé menő kártyát. Így egyszerűbb volt már a beállításuk.
top, atop, logok
Nem lehet esetleg, hogy valamiért önmagára fordul vissza, és egy kérés körbe-körbe megy benne?