Squid trava a internet

moisesbomfim
(usa CentOS)

Enviado em 27/06/2014 - 17:41h

Ola !

estou enfrentando difuculdades para diagnosticar o problema do squid,a internet oscila em alguns momentos e retorna,as contas Skype funcionan normalmente e email outlook também,apenas a internet oscila,se der restart no squid a internet retorna normalmente,no log do squid cache sempre aparece a mensagem clientProcessRequest: Invalid Request,

alguém teria alguma ideia ?

cedspp10
(usa Outra)

Enviado em 27/06/2014 - 17:57h

Estou com o mesmo problema, acredito ser o cache também, mas ainda não sei como resolver, ele deixa a internet tão ruim as vezes que eu acabei desabilitando ele por enquanto.

Obrigado.

Eslih
(usa Debian)

Enviado em 27/06/2014 - 18:18h

Olá,
posta o seu squid.conf pois ví outra vez este erro num forum, faltava algumas correções no squid.conf do cara (na verdade, quase todas as vezes que ví isto, faltava declarações no squid.conf).
Geralmente a continuação desta mensagem no log é "Unsupported method attempted by... This is not a bug. see squid.conf extension_methods".

Outra coisa (caso não for isto), se parar e "squid -z" voltando o squid, o erro acontece novamente em pouco intervalo de tempo?
De qualquer forma, postando o seu squid.conf fica mais fácil...

moisesbomfim
(usa CentOS)

Enviado em 27/06/2014 - 19:27h

nao cheguei a fazer esse teste,mas segue o squid.conf pra vc ver se da uma luz,

# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# servidor de DNS
#dns_nameservers 8.8.8.8 8.8.4.4
#dns_nameservers 187.44.96.2
#dns_nameservers 187.44.96.3
#dns_nameservers 208.67.222.222
#dns_nameservers 208.67.220.220

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

# Inclusoes
acl proibido_virus url_regex "/etc/squid/sites_virus.txt"
acl proibido url_regex -i "/etc/squid/sites_proibidos.txt"
acl excessao url_regex -i "/etc/squid/sites_excessao.txt"
acl dominiosliberados dstdomain "/etc/squid/dominiosliberados.txt"
acl dominiosbloqueados dstdomain "/etc/squid/dominiosbloqueados.txt"
acl gerencia src "/etc/squid/ipsliberados.txt"
acl centerlog src 192.168.1.0/24

acl brasmar src "/etc/squid/semcache.txt"
no_cache deny brasmar

acl SSL_ports port 443 563 3525
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http-zimbra
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Politica de acesso internet
# Liberacao de paginas

# Bloqueio Geral
http_access deny dominiosbloqueados

# Libera acesso total para gerencia e
# permite excessoes para demais maquinas
http_access allow gerencia
http_access allow dominiosliberados
http_access allow excessao
# fim da liberacao total e excessoes

# Negando acesso a site e dominio restritos
#http_access deny proibido_virus
#http_access deny proibido
# fim das restricoes

# Regra padrao
http_access allow centerlog
# fim da politica de acesso

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128 transparent

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory
cache_dir ufs /var/spool/squid 1024 8 16

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# TAMANHO MAXIMO DO OBJETO A SER ARMAZENADO NO CACHE
maximum_object_size 512 MB

# TAMANHO DO CACHE QUE SERA ARMAZENADO EM MEMORIA
cache_mem 128 MB

# REPOSICAO DE OBJETOS ARMAZENADOS
cache_swap_low 85
cache_swap_high 90


# erro messages
error_directory /usr/share/squid/errors/pt-br

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

Buckminster
(usa Debian)

Enviado em 27/06/2014 - 20:08h

Esses parâmetros

# Uncomment and adjust the following to add a disk cache directory
cache_dir ufs /var/spool/squid 1024 8 16

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# TAMANHO MAXIMO DO OBJETO A SER ARMAZENADO NO CACHE
maximum_object_size 512 MB

# TAMANHO DO CACHE QUE SERA ARMAZENADO EM MEMORIA
cache_mem 128 MB

Vamos às considerações:

Em "cache_dir ufs /var/spool/squid 1024 8 16" tu está definindo 1 GB de cache no HD para o Squid e em maximum_object_size 512 MB tu definiu em 512 MB o tamanho máximo dos objetos que o Squid armazena no cache.

Isto significa que se alguém na tua rede fizer 2 downloads de vídeos de 512 MB cada, lotará o cache_dir e logicamente entrarão em ação as tags cache_swap_low 85 e cache_swap_high 90 que dizem que quando o cache ultrapassar 90% o Squid removerá os objetos mais antigos em cache até atingir 85% do total (100%, 1024 MB), e isso torna o Squid lento e conseguintemente a rede fica lenta porque toda hora o Squid terá que lidar com o esvaziamento do cache em disco.

Aconselho a colocar assim

cache_dir ufs /var/spool/squid 5120 16 256

e

maximum_object_size 100 MB <<< aqui deixe assim, tu não está fazendo cache de vídeos, não precisa de 512 MB.

Em cache_mem 128 MB caso tenha mais de 2 GB de RAM na máquina coloque metade do total da memória RAM, por exemplo, caso tenha 4 GB de memória RAM na máquina deixe assim

cache_mem 2048 MB

Quanto tem de RAM na máquina?

E nas tags cache_swap_low 85 e cache_swap_high 90 deixe assim

cache_swap_low 90
cache_swap_high 95

Faça as alterações no squid.conf, pare o Squid e execute squid -z para refazer o cache, e depois teste.
Não olhei todo teu squid.conf, mas vamos começar dessa parte.

E verifique no log do Squid se junto a essa mensagem "clientProcessRequest: Invalid Request" (em cima ou embaixo dela) tem algo parecido com

""WARNING for request:..."

Caso tiver, posta aqui.

Quantas máquinas tem na tua rede?

E essa ACL

acl brasmar src "/etc/squid/semcache.txt"
no_cache deny brasmar

qual a versão do teu Squid... execute squid -v ou squid --version.
Desde o Squid 2.6 que essa ACL "no_cache" foi substituída pela opção refresh_pattern.

moisesbomfim
(usa CentOS)

Enviado em 27/06/2014 - 22:38h

certo,vou efetuar estes ajustes,referente as perguntas:

a maquina tem 4gb de memory e executa tambem serviço de e-mail,durante o dia a maquina chegou a ficar com 350mb free de memory.

geralmente quando a net trava,rapidamente entro com o comando tail -f /var/log/squid/cache.log e exibe a seguinte mensagem :

2014/06/27 17:28:50| WARNING: Forwarding loop detected for:
GET / HTTP/1.1
Host: 192.168.1.254:3128
Via: 1.0 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10), 1.1 mx.centerlogarmazens.com.br (squid/3.1.10)Cache-Control: max-age=259200
Connection: keep-alive


2014/06/27 20:54:14| clientProcessRequest: Invalid Request

tenho na rede 20 maquinas

a versao do squid é 3.1.10

Buckminster
(usa Debian)

Enviado em 30/06/2014 - 07:50h

acl brasmar src "/etc/squid/semcache.txt"
no_cache deny brasmar

Comenta essas duas linhas.

moisesbomfim
(usa CentOS)

Enviado em 30/06/2014 - 08:47h

certo,comentei,vou fazer os testes agora

Grato

moisesbomfim
(usa CentOS)

Enviado em 30/06/2014 - 11:49h

Pessoal,acabou de travar a internet,entrei no console visualisei o log do cache.log e apareceu varias vezes esta mensagem 2014/06/30 10:51:28| IpIntercept.cc(137) NetfilterInterception: NF getsockopt(SO_ORIGINAL_DST) failed on FD 38: (2) No such file or directory

só voltou a funcionar quando dei um restart no serviço do squid

o que sera que é isso

Buckminster
(usa Debian)

Enviado em 01/07/2014 - 05:26h

Esse erro geralmente é devido ao tráfego não-nat que chega a uma porta do Squid sinalizada com "intercept" ou "transparent".

Você está setando o proxy nos navegadores?

Teu Squid é transparente, não precisa setar o proxy nos navegadores.

Posta aqui teu script do Iptables também.


Aumente os FDs (File Descriptors), faça o seguinte:

# vim /etc/sysctl.conf << usei o vim, você use teu editor de texto preferido.

e coloque no final do arquivo

fs.file-max=512000

Salve e saia e reinicie o servidor.