Em 28/04/2010 11:44, Carlos Beltrame escreveu:
Opa cara, valeu pela resposta, na minha rede são cerca de 50
computadores. Fiz as alterações que recomendou, melhorou um pouco,
porém nosso link aqui é de 4mb e quando faço o teste pelo site
www.speedtest.net <http://www.speedtest.net> a velocidade não passa
dos 1.3mb. Direto no servidor pingando o site da uol veja os resultados:
16 pacotes enviados, 13 recebidos, 18% de perda, tempo 15231ms
rtt min/avg/max/mdev = 72.259/262.462/734.289/169.755 ms
Abraços
Yours Truly
Carlos Beltrame -Eletrical Engineer
IEEE - HTC Brazilian Representative
Mobile: +55 18-9795-5271
MSN : c_beltr...@hotmail.com
Skype : zebacking
UNESP - Campus of Ilha Solteira
------------------------------------------------------------------------
*De:* Jose Carlos (Gmail) <sepjcar...@gmail.com>
*Para:* debian-user-portuguese@lists.debian.org
*Enviadas:* Quarta-feira, 28 de Abril de 2010 9:54:42
*Assunto:* Re: ajuda com iptables+squid
Em 28/04/2010 01:48, Carlos Beltrame escreveu:
Ola pessoal, volto eu com mais problemas pedidno ajuda =]
O sinal de internet xega via radio pela eth1 configurada como
192.168.4.3, e atraves do firewall compartilhando para minha rede
192.168.0.0/24. A intensão é rodar squid transparente e até funciona,
porem a rede ta lenta, o acesso a sites e download ta lento, qdo
acesso direto com o AP que recebe o sinal de fora no meu pc, a net
voa kkkkk. O msn principalmente, qdo conecta, fica uns 2 minutos
conectado e dp cai. Enfim, segue abaixo meu firewall.sh e meu
squid.conf gostaria de saber se há como melhorar o desempenho, se ha
algo errado. Procurei comentar minha intensao em cada linha abaixo:
==============firewall====================
#!/bin/bash
## Apaga quaisquer regras que por ventura existam
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#### Regras de policiamento ####
## bloqueia qualquer pacote que não seja explicitament permitio
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
## Permite acesso a interface loopback
iptables -A INPUT -i lo -j ACCEPT
## Permite apenas entrada das respostas as conexões desaida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#protecao contra port scanners ocultos
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
iptables -t filter -A INPUT -p icmp --icmp-type echo-request -m limit
--limit 1/s -j ACCEPT
#Protecao contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
#setando delay minimo
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 53 -j TOS
--set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 80 -j TOS
--set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 443 -j TOS
--set-tos Minimize-Delay
iptables -t mangle -A OUTPUT -o ppp0 -p tcp --dport 10000 -j TOS
--set-tos Minimize-Delay
#### OUTPUT ####
# Permite que o servidor acesse outras maquinas
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
### PREROUTING ###
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j
REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp --dport 80 -j
REDIRECT --to-port 3128
### FORWARD ###
# Connection tracking (aceita pacotes para conexoes já estabelecidas)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
## Redireciona dados dos administradores
/etc/firewall/admin/adminporta.sh
/etc/firewall/admin/adminssh.sh
## Redireciona dados dos usuarios squid e outro barramento
#exemplo:
# iptables -I INPUT -s 192.168.0.106 -p tcp --dport 3128 -j ACCEPT
# iptables -A FORWARD -s 192.168.0.106 -o eth1 -j ACCEPT
/etc/firewall/liberados/liberados.sh
#### POSTROUTING ####
## Compartilhamento da internet
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p udp -j
SNAT --to 192.168.4.3
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -p tcp -j
SNAT --to 192.168.4.3
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j
TCPMSS -o eth1 --set-mss 1412
### Ativa o modulo responsavel pelo encaminhamento de pacotes ###
echo 1 > /proc/sys/net/ipv4/ip_forward
========================================================================
====================squid.conf===========================
http_port 3128 transparent
visible_hostname INTERNET
cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 700 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 50000 16 256
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 6881
acl purge method PURGE
acl CONNECT method CONNECT
acl servidor src 192.168.0.1
acl horario time 00:30-06:00
acl proibir_dominio dstdomain "/etc/squid/bloqueio"
acl proibir_url url_regex -i "/etc/squid/bloqurl"
acl aceitar_dom dstdomain "/etc/squid/aceitar"
http_access deny proibir_dominio !horario
http_access deny proibir_url !horario
http_access allow aceitar_dom
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow servidor
http_access allow all
http_reply_access allow all
icp_access allow all
coredump_dir /var/spool/squid
===========================================================
Espero ter sido claro, no aguardo, gde abraço.
Yours Truly
Carlos Beltrame -Eletrical Engineer
IEEE - HTC Brazilian Representative
Mobile: +55 18-9795-5271
MSN :c_beltr...@hotmail.com
Skype : zebacking
UNESP - Campus of Ilha Solteira
Caro amigo,
Primeiro - quantos micros vc utiliza na sua rede???
Segundo - Quando voce pinga um site qualquer, dentro do servidor
linux, qualo tempo de resposta? Caso ele for alto o tempo de resposta.
Coloque a seguinte linha no seu squid.conf
exemplo:* ***dns_nameservers 200.204.0.10
Abaixe o valor de 50000 do seu cache_dir para 5000 e recrie o cache.
Da uma lida neste material:
http://linuxadm.blogspot.com/2008/02/otimizando-o-squid-verso-2008.html
Após estas mudanças. Poste os resultados
Jose Carlos Oliveira
Administrador de Redes Sr
http://sixsideweb.blogspot.com
Carlos,
o tempo de resposta do seu ping esta muito alto. Qual o tipo de link que
esta usando (radio, adsl, frame relay, ip dedicado)? Qual ha operadora
(telefonica, net, etc.)? Seu ip é dedicado ou dinamico?
Por que um dos pontos a serem checados de qualquer forma e a resolução
dos nomes no resolv.conf, me envie a configuração deste arquivo. Junto
mencione configuração das suas placas de redes, apenas para desencargo.
Pode envia via PVT. sepjcar...@gmail.com ou sepjcar...@yahoo.com.br
Jose Carlos Oliveira
Administrador de Redes Sr
http://sixsideweb.blogspot.com
