Conection timeout (110) squid

ederpaulopereira
(usa Debian)

Enviado em 09/12/2014 - 14:48h

Olá pessoal;

Fiz um servidor proxy para uma rede de uns 40 computadores, mas estou tendo algumas dores de cabeça. No início, funcionava legal, mas agora, ao tentar abrir algumas páginas, demora um montão e dá o seguinte erro:

O sistema retornou: (110) Connection timed out

O engraçado é que é só para alguns sites, como: http://economia.uol.com.br, http://www.google.com.br/, mas http://www.vivaolinux.com.br/ abre de boa, isso que não entendi. Estou usando Centos 6.5 32 bits, vejam meu squid.conf:

#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

visible_hostname meuproxy

cache_access_log /var/log/squid/access.log

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network


acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 transparent

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

meu iptables:

#!/bin/bash
# testes
# eth0- local
# eth1- internet

i=iptables
lan=eth0
wan=eth1

######### Limpa as tabelas ############
$i -F
$i -X
$i -t nat -F
$i -t nat -X

#Politica padrão, bloqueia tudo na input
$i -P INPUT DROP
$i -P FORWARD ACCEPT
$i -P OUTPUT ACCEPT

# Aceita via localhost
$i -A INPUT -i lo -j ACCEPT

#Libera o ping
$i -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
$i -A FORWARD -p icmp -s 192.168.1.0/24 -d 0/0 -j ACCEPT

#Pacotes originados pelo firewall
$i -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$i -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$i -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberados sem proxy - Sempre antes do redirecionamento para o proxy

$i -t nat -A PREROUTING -s 192.168.1.11/32 -j ACCEPT
$i -t nat -A PREROUTING -s 192.168.1.12/32 -j ACCEPT
$i -t nat -A PREROUTING -s 192.168.1.153/32 -j ACCEPT

#Liberando porta SSH - 2222 (De quem acessa por fora)
$i -A INPUT -p tcp --destination-port 2222 -j ACCEPT
$i -A OUTPUT -p tcp --destination-port 2222 -j ACCEPT
$i -A FORWARD -p tcp --destination-port 2222 -j ACCEPT

#Liberando acesso interno da rede Local
$i -A INPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
$i -A OUTPUT -p tcp --syn -s 192.168.1.0/24 -j ACCEPT
$i -A FORWARD -p tcp --syn -s 192.168.1.0/24 -j ACCEPT

#Aqui entra o redirecionamento do transparent proxy -- Redirecionar tudo as requisiçõe da porta 80 que veem da eth0 (rede local) para o squid
iptables -A INPUT -p tcp -s 192.168.1.75/32 --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.75/32 --destination-port 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Rejeita qualquer requisição ao SQUID senao for da rede Interna
#iptables -A INPUT -p tcp ! -s 192.168.1.0/16 --dport 3128 -j REJECT

#Redirecionamento do kernel
echo 1 > /proc/sys/net/ipv4/ip_forward

#Mascara a rede para Saída na WEB
$i -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -j MASQUERADE
$i -t nat -A POSTROUTING -p udp -s 192.168.1.0/24 -j MASQUERADE

#Libera DNS
$i -I INPUT -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT
$i -I FORWARD -p udp -s 192.168.1.0/24 --dport 53 -j ACCEPT

Como podem ver, fiz o mais simples possível, apenas para rotear entre as interfaces de rede, e passar o http pelo proxy. Isso é um detalhe importante, pois, se eu tiro do proxy, o nat ocorre sem problemas, é alguma coisa no meu proxy, por isso tem ali no redirecionamento do proxy o ip da minha estação, pois este servidor está em produção, a rede agora não está passando pelo proxy, só fazendo o nat.

Meu squid:

squid -v
Squid Cache: Version 3.1.10

Deve ser alguma bobagem, pois substitui por um endian que eu tinha aqui parado, e rodou de boa. Só não testei outra distro mesmo, pq sempre usamos esta. Alguém tem uma luz? Obrigado.

buckminster
(usa Debian)

Enviado em 09/12/2014 - 15:17h

No squid.conf deixe esta parte como está abaixo:

# Uncomment and adjust the following to add a disk cache directory.
cache_dir aufs /var/spool/squid 10000 16 256
cache_swap_low 90
cache_swap_high 95

e aqui

http_port 3128 transparent

deixe assim

http_port 3128 intercept

Faça as alterações, pare o Squid e execute squid3 -z, squid3 -k reconfigure, inicie o Squid e teste.


No Iptables teste substituindo essas duas regras

#Mascara a rede para Saída na WEB
$i -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -j MASQUERADE
$i -t nat -A POSTROUTING -p udp -s 192.168.1.0/24 -j MASQUERADE

por

#Mascara a rede para Saída na WEB
iptables -A POSTROUTING -o eth1 -j MASQUERADE

E verifique também teus DNSs, pode ser um problema de DNS.



192.168.1.0/24 <<< se tua rede local é essa, que IP é esse abaixo?

iptables -A INPUT -p tcp -s 192.168.1.75/32 --destination-port 80 -j ACCEPT

E aqui tua rede interna está com outra máscara de rede:

# Rejeita qualquer requisição ao SQUID senao for da rede Interna
#iptables -A INPUT -p tcp ! -s 192.168.1.0/16 --dport 3128 -j REJECT

ederpaulopereira
(usa Debian)

Enviado em 09/12/2014 - 16:00h

- está comentada, mas está errado sim.


Obrigado pela resposta, mas não resolveu ainda.
Carrega a página até dar timeout (110). pelo que li nos fóruns do centos, é meio geral este problema, veja:

http://centosbr.org/modules/newbb/search.php
http://centosbr.org/modules/newbb/viewtopic.php?topic_id=4231&forum=22&post_id=18217#forumpo...
http://centosbr.org/modules/newbb/viewtopic.php?topic_id=4237&forum=22&post_id=18232#forumpo...
http://centosbr.org/modules/newbb/viewtopic.php?topic_id=4235&forum=22&post_id=18247#forumpo...

Ainda procurando...

buckminster
(usa Debian)

Enviado em 09/12/2014 - 16:17h

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE <<< acrescente -t nat e teste de novo com as modificações no squid.conf. eth1 deve ser a placa de entrada da internet, se não for, modifique.

Caso continuar o problema, verifique tuas configurações de DNS.


E eu continuo sem entender:

$i -t nat -A PREROUTING -s 192.168.1.11/32 -j ACCEPT
$i -t nat -A PREROUTING -s 192.168.1.12/32 -j ACCEPT
$i -t nat -A PREROUTING -s 192.168.1.153/32 -j ACCEPT

Uma hora tu colocas a máscara como 24, outra hora como 32, outra como 16, assim não funciona mesmo. Verifiques dentro do arquivo de configurações das placas de rede se tu não errou nas máscaras tabmém.

ederpaulopereira
(usa Debian)

Enviado em 09/12/2014 - 16:22h

Kra, obrigado pela ajuda, mas nada ainda. Mesmo erro de timeout. Já fiz testes com dns do google, opendns, e do meu provedor, mesmo assim nao muda nada. Se eu tirar o redirecionamento da porta 80 para a 3128, a internet funciona normalmente, é algo no squid. Vou dar mais uma pesquisada.

ederpaulopereira
(usa Debian)

Enviado em 09/12/2014 - 16:41h

O seguinte erro foi encontrado ao tentar recuperar a URL: http://www.google.com.br/

Conexão para 2800:3f0:4004:801::1017 falhou.

O sistema retornou: (110) Connection timed out

The remote host or network may be down. Please try the request again.

Será que tenho que habilitar algo relacionado ao ipv6 aqui no meu firewall?

buckminster
(usa Debian)

Enviado em 09/12/2014 - 16:54h

Faça um teste, acrescente essa linha abaixo no squid.conf junto com as outras safe ports:

acl Safe_ports port 80 # http


Reinicie o Squid e teste.

ederpaulopereira
(usa Debian)

Enviado em 09/12/2014 - 17:42h

Nada feito.

buckminster
(usa Debian)

Enviado em 10/12/2014 - 13:17h

Não me parece falha de IPv6, mas

execute

# ping ::1 para ver se o IPv6 está instalado.

e

# ping6 -c5 ::1 para ver se o IPV6 está habilitado.

E de novo aconselho tu a rever todas tuas configurações de rede com calma.

Tu instalastes o Squid manualmente ou pelo yum?

ederpaulopereira
(usa Debian)

Enviado em 10/12/2014 - 16:27h

buckminster, obrigado pela atenção kra.

ambos os pings estão respondendo. O squid foi instalado via yum mesmo. Estou fazendo uns testes com a versão 2.6 do squid em um centos 5.11, tudo funcionando até agora, vou testar mais um pouco e qqr coisa largar em produção pra ver o que dá.

buckminster
(usa Debian)

Enviado em 10/12/2014 - 16:33h

Qualquer coisa desinstala o Squid e reinstala nessa versão 6.5 do CentOs mesmo e testa, às vezes resolve.

ederpaulopereira
(usa Debian)

Enviado em 14/12/2014 - 17:31h

Apenas para conhecimento, coloquei um Centos 5.11 com squid 2.6 e até agora está funcionando redondo. buckminster, obrigado pela disposição aí kra.