Squid gondok

Debian GNU/Linux

Sziasztok!

1. Első körben lenne két problémám a squid-el kapcsolatban. Az első, hogy hiába állítom be a tűzfalban, hogy ezen keresztül menjen a böngészés nem működik. Ami abban jelentkezik, hogy nem szűr. Ha a böngészőben beállítom a proxy címet akkor működik és a squid szabályok is úgy mennek ahogyan szeretném, de iptables-en keresztül nem hajlandó menni.

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Kettő hálókártya van a gépben a belső hálózat miatt. Próbáltam már mindkét hálókártyával, de semmi.

2. A másik gondom pedig az, hogy amikor elindul a rendszer akkor nagyon sokáig úgy látszik, hogy dolgozik a wincseszter és a bejelentkezés is kb. 10 percet vesz igénybe. Ha kiveszem a startup-ból a squid-et akkor minden normálisan megy induláskor, de mihelyt benne van egyszerűen az indulás borzasztó lassú. Egy idő után abbahagyja, de elég kivárni, meg aztán úgy gondolom, hogy nem is normális jelenség ez. Ennek mi lehet az oka?

  • 2350 megtekintés

( gergelykiss | 2011. 10. 06., cs – 14:48 )

A 2-es problémára reflektálva: előfordulhat, hogy valami oknál fogva nem működik a névfeloldás, amikor a squid elindul, és ha sok DNS-nevet akar feloldani (pl. a tiltólistán lévő címeket), akkor a timeout-ok miatt előfordulhat, hogy látszólag nem történik semmi hosszú ideig. Próbáld meg kideríteni, hogy működik-e a névfeloldás a Squid indításakor (pl. tűzfal kiengedi-e a DNS-portokat).

Ha a merevlemez is keményen dolgozik ilyenkor, akkor könnyen lehet, hogy a cache-sel operál valamit a squid. Ez Debiannél, ha csomagból telepítetted a squidet, a /var/spool/squid könyvtárban van. Nézd meg a könyvtár méretét, hátha túl nagyra nőtt. Ezzel kapcsolatban itt egy hasznos infó a Squid Wiki oldaláról:

"Squid-2.6 and later contain mechanisms which will automatically detect dirty information in both the cache directories and swap.state file. When squid starts up it runs these validation and security checks. The objects which fail for any reason are automatically purged from the cache."

http://wiki.squid-cache.org/SquidFaq/OperatingSquid#I_want_to_restart_S…

Ha több(tíz) GB-osra hízott a cache, akkor simán lehet, hogy ez okozza a lassú indulást.

( ozs v | 2011. 10. 06., cs – 17:26 )

Hali!

Probald meg igy: 


iptables -A PREROUTING -i ethX -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128

Ahol xxx.xxx.xxx.xxx es ethX a belso halo fele mutato IP es halokartya.

Szerk.: Es lehetoleg a szabalyok elejen legyen valahol.

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

( gergelykiss | 2011. 10. 06., cs – 19:39 )

Nálunk így működik a transzparens proxy:

iptables -t nat -I PREROUTING -p tcp -s $LAN_SUBNET --dport 80 -j REDIRECT --to-port 3128

Debian Squeeze + iptables v1.4.8

Érdemes megfigyelni, hogy nem csak interfészre, de forrás IP-tartományra is beállítható a szabály (ami interfésztől független).

Esetleg még hasznos infó lehet (iptables manpage-ből):

"It redirects the packet to the machine itself by changing the destination IP to the primary address of the incoming interface (locally-generated packets are mapped to the 127.0.0.1 address)."

Vagyis, ha eth1-en jön be a csomag, akkor annak az elsődleges IP-címére fogja NAT-olni a csomagot.

( gyunix | 2011. 10. 08., szo – 14:55 )

Az első probléma megoldódott. Viszont a második probléma még mindig fennáll. Egyszerűen nem értem, hogy miért csinálja. Ha bekapcsolom a squid-ben a squidGuard-ot és a másik gép (mindössze egy darab) csatlakozik a netre elkezd dolgozni ezerrel a wincseszter. Azt gondolom, hogy egy core i5-ős 8GB rammal rendelkező gépnek nem lenne szabad ilyet művelnie. Az előző szerverem egy régi PIII-as compaq kis gép volt és azon is futott squid és soha ilyet nem csinált. Szóval ezzel lehet valamit kezdeni? Már indítottam a -D kapcsolóval is, de ugyanaz.