Em 28/04/2010 11:44, Carlos Beltrame escreveu:
Opa cara, valeu pela resposta, na minha rede são cerca de 50 computadores. Fiz as alterações que recomendou, melhorou um pouco, porém nosso link aqui é de 4mb e quando faço o teste pelo site www.speedtest.net <http://www.speedtest.net> a velocidade não passa dos 1.3mb. Direto no servidor pingando o site da uol veja os resultados:

16 pacotes enviados, 13 recebidos, 18% de perda, tempo 15231ms
rtt min/avg/max/mdev = 72.259/262.462/734.289/169.755 ms

Abraços
Yours Truly
Carlos Beltrame -Eletrical Engineer
IEEE - HTC Brazilian Representative
Mobile: +55 18-9795-5271
MSN   : c_beltr...@hotmail.com
Skype : zebacking
UNESP  - Campus of Ilha Solteira
------------------------------------------------------------------------
*De:* Jose Carlos (Gmail) <sepjcar...@gmail.com>
*Para:* debian-user-portuguese@lists.debian.org
*Enviadas:* Quarta-feira, 28 de Abril de 2010 9:54:42
*Assunto:* Re: ajuda com iptables+squid

Em 28/04/2010 01:48, Carlos Beltrame escreveu:
Ola pessoal, volto eu com mais problemas pedidno ajuda =]
O sinal de internet xega via radio pela eth1 configurada como 192.168.4.3, e atraves do firewall compartilhando para minha rede 192.168.0.0/24. A intensão é rodar squid transparente e até funciona, porem a rede ta lenta, o acesso a sites e download ta lento, qdo acesso direto com o AP que recebe o sinal de fora no meu pc, a net voa kkkkk. O msn principalmente, qdo conecta, fica uns 2 minutos conectado e dp cai. Enfim, segue abaixo meu firewall.sh e meu squid.conf gostaria de saber se há como melhorar o desempenho, se ha algo errado. Procurei comentar minha intensao em cada linha abaixo:

==============firewall====================
#!/bin/bash

## Apaga quaisquer regras que por ventura existam
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#### Regras de policiamento ####

## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT

## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Protecao contra ataques
iptables -A INPUT -m state --state INVALID -j DROP

#setando delay minimo
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 53 -j TOS --set-tos Minimize-Delay iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 80 -j TOS --set-tos Minimize-Delay iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 443 -j TOS --set-tos Minimize-Delay iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 10000 -j TOS --set-tos Minimize-Delay

#### OUTPUT ####
# Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

### PREROUTING ###
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128

### FORWARD ###

# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## Redireciona dados dos administradores
/etc/firewall/admin/adminporta.sh
/etc/firewall/admin/adminssh.sh

## Redireciona dados dos usuarios squid e outro barramento
#exemplo:
# iptables -I INPUT -s 192.168.0.106 -p tcp --dport 3128 -j ACCEPT
# iptables -A FORWARD -s 192.168.0.106 -o eth1 -j ACCEPT
/etc/firewall/liberados/liberados.sh

#### POSTROUTING ####

## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j SNAT --to 192.168.4.3 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp -j SNAT --to 192.168.4.3


iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --set-mss 1412

### Ativa o modulo responsavel pelo encaminhamento de pacotes ###
echo 1 > /proc/sys/net/ipv4/ip_forward
========================================================================


====================squid.conf===========================
http_port 3128 transparent
visible_hostname INTERNET

cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 700 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid  50000 16 256

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?

cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443          # https
acl SSL_ports port 563          # snews
acl SSL_ports port 873          # rsync
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 631         # cups
acl Safe_ports port 873         # rsync
acl Safe_ports port 901         # SWAT
acl Safe_ports port 6881
acl purge method PURGE
acl CONNECT method CONNECT

acl servidor src 192.168.0.1

acl horario time 00:30-06:00
acl proibir_dominio dstdomain "/etc/squid/bloqueio"
acl proibir_url url_regex -i "/etc/squid/bloqurl"

acl aceitar_dom dstdomain "/etc/squid/aceitar"

http_access deny proibir_dominio !horario
http_access deny proibir_url !horario

http_access allow aceitar_dom
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow servidor
http_access allow all
http_reply_access allow all
icp_access allow all
coredump_dir /var/spool/squid
===========================================================

Espero ter sido claro, no aguardo, gde abraço.
Yours Truly
Carlos Beltrame -Eletrical Engineer
IEEE - HTC Brazilian Representative
Mobile: +55 18-9795-5271
MSN   :c_beltr...@hotmail.com
Skype : zebacking
UNESP  - Campus of Ilha Solteira

Caro amigo,

Primeiro - quantos micros vc utiliza na sua rede???

Segundo - Quando voce pinga um site qualquer, dentro do servidor linux, qualo tempo de resposta? Caso ele for alto o tempo de resposta. Coloque a seguinte linha no seu squid.conf
exemplo:* ***dns_nameservers 200.204.0.10
Abaixe o valor de 50000 do seu cache_dir para 5000 e recrie o cache.

Da uma lida neste material: http://linuxadm.blogspot.com/2008/02/otimizando-o-squid-verso-2008.html
Após estas mudanças. Poste os resultados


Jose Carlos Oliveira
Administrador de Redes Sr
http://sixsideweb.blogspot.com



Carlos,

o tempo de resposta do seu ping esta muito alto. Qual o tipo de link que esta usando (radio, adsl, frame relay, ip dedicado)? Qual ha operadora (telefonica, net, etc.)? Seu ip é dedicado ou dinamico? Por que um dos pontos a serem checados de qualquer forma e a resolução dos nomes no resolv.conf, me envie a configuração deste arquivo. Junto mencione configuração das suas placas de redes, apenas para desencargo. Pode envia via PVT. sepjcar...@gmail.com ou sepjcar...@yahoo.com.br

Jose Carlos Oliveira
Administrador de Redes Sr
http://sixsideweb.blogspot.com

Responder a