Hola amigos, tengo un problema que no le encuentro solucion, les explico. Tengo un servidor proxy sobre CentOS 5 con squid 2.6 e iptables que sirven a una red de 20 pcs, el cpu es una pc compatible con placa intel 512 de ram disco de 40 gb y 2 tarjetas de red.
Cuando inicio el servicio de squid funciona perfectamente, rapido y segun las reglas configuradas, tanto para webs como para msn. El problema es que cada cierto tiempo, entre 10 o 15 miuntos que funciona, automaticamente se bloquea, es decir, es como si el squid dejase de funcionar y no responde a las solicitudes webs, logicamente ingreso al server, verifico que los servicios esten en ejecucion y la red esta respondiendo correctamente, osea desde el mismo server todo funciona normal pero deja de atender las peticiones webs. Le he dado mil vueltas a este problema y no le encuentro solucion. Tal vez alguien se haya topado con algo similar y pueda ayudar. aqui adjunto las configuraciones de squid y las reglas iptables utilizadas. squid.conf =============================================== http_port X.X.X.X:3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 64 MB cache_swap_low 90 cache_swap_high 96 maximum_object_size 50 MB fqdncache_size 1024 cache_replacement_policy lru memory_replacement_policy lru cache_dir ufs /var/spool/squid 5000 16 256 access_log /var/log/squid/access.log squid pid_filename /var/run/squid.pid ftp_user Squid@ refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl laboratorios src 192.168.2.0/24 acl restringido url_regex "/etc/squid/restringido" acl SSL_ports port 443-563 acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow laboratorios !restringido http_access allow localhost http_access deny all http_reply_access allow all icp_access allow all cache_mgr raul cache_effective_user squid cache_effective_group squid httpd_suppress_version_string on visible_hostname servidor err_html_text raul error_directory /usr/share/squid/errors/Spanish coredump_dir /var/spool/squid ie_refresh on cache_access_log /var/log/squid/access.log =============================================== reglas_proxy.sh =============================================== #!/bin/sh # IP Servidor SQUID - Internet SQUID_SERVER="X.X.B.X" # Tarjeta de Red Conectada a Internet INTERNET="eth0" # Tarjeta de Red conectada a LAN LAN_IN="eth1" # Puerto SQUID SQUID_PORT="3128" # Limpiamos todas las reglas de iptables iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # Cargamos modulos de iptables para NAT y soporte IP contrack modprobe ip_conntrack modprobe ip_conntrack_ftp # Para cliente FTP de Windows XP modprobe ip_nat_ftp #Activamos el reenvio de paquetes echo 1 > /proc/sys/net/ipv4/ip_forward # Activamos por defecto los filtros de entrada y salida iptables -P INPUT DROP iptables -P OUTPUT ACCEPT # Acceso ilimitado para loop back iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Permitir UDP, DNS y FTP Pasivo iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT # Activamos el firewall como router para el resto de la LAN iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT # Acceso de la red LAN sin limites iptables -A INPUT -i $LAN_IN -j ACCEPT iptables -A OUTPUT -o $LAN_IN -j ACCEPT # realizamos DNAT de las peticiones del puerto 80 desde la red LAN al puerto de squid 3128 para proxy transparente #iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT # Redirigimos todo al squid que esta en el mismo servidor #iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT =============================================== -- Raul Rodas _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
