[GTER] SQUID squid-3.1.0.14 + TPROXY

Renato Murilo Langona renato at linuxsecurity.com.br
Thu Nov 19 19:04:25 -02 2009 

Luzivan, realmente nao vejo uma luz ainda sobre seu problema.
Como perguntar nao vai fazer mal:

- Vc recompilou seu kernel com opcoes de FD maiores que 1024 tbem?
- Tentou recompilar o ultimo snapshot da versao de testes que esta 
utilizando?
http://www.squid-cache.org/Versions/v3/3.1/squid-3.1.0.14-20091119.tar.bz2
- Com que opcoes vc esta compilando seu squid exatamente? (squid -v)

Estou instalando o Debian 64 aqui em uma VM para tentar reproduzir seu 
erro...

Abs!

Luzivan escreveu:
> Sim, testei com esta opcao e sem ela, e continua o erro. Neste equipamento
> tem uma outra interface a eth3 que é uma interface para testes, ligo o
> notebook nela, coloco IP valido como se fosse um cliente qualquer e navega
> normalmente, passando pelo squid e fazendo cache, o problema acontece quando
> ligo na eth4 o trafego pesado.
>
> OBS: já testei outra interface,considerando que pudesse ser problema na
> eth4.
>
>
> 2009/11/19 Renato Murilo Langona <renato at linuxsecurity.com.br>
>
>   
>> Aparentemente seu procedimento esta correto. De qualquer forma, como
>> utiliza bridge e tem outras interfaces na maquina provavelmente, vc utiliza
>> tcp_outgoing_address xxx.xxx.xxx.xxx em seu squid.conf?
>>
>> Abs!
>>
>> Luzivan escreveu:
>>
>>  Estou usando squid 3.1.14, compilado para aumentar o numero de FDs e
>>     
>>> também
>>> compiliar com a opcao de FS = diskd e aufs. Estou usando SO Debian 5.0 R3,
>>> estou usando tproxy 4.1, já teste com a opcao tcp_outgoing_address e sem
>>> ela, dá o mesmo erro, estou usando a porta 3129 e redirecionando com
>>> iptables pra ela. Segue os redirect que estou fazendo e também os DROP
>>> necessários com ebtables, pois este servidor está em bridge.
>>>
>>> ###### EBTABLES #########
>>> /sbin/ebtables -t broute -F
>>>
>>> ## eth4 =  interface é de saida para internet
>>> /sbin/ebtables -t broute -A BROUTING -i eth4 -p ipv4 --ip-proto tcp
>>> --ip-sport 80 -j redirect --redirect-target DROP
>>>
>>>
>>> ## eth5 - Interface de entrada do trafego
>>> /sbin/ebtables -t broute -A BROUTING -i eth5 -p ipv4 --ip-proto tcp
>>> --ip-dport 80 -j redirect --redirect-target DROP
>>>
>>>
>>> ###### IPTABLES ######
>>> $IPT -t mangle -N DIVERT
>>> $IPT -t mangle -A DIVERT -j MARK --set-mark 1
>>> $IPT -t mangle -A DIVERT -j ACCEPT
>>> $IPT -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
>>> $IPT -t mangle -A PREROUTING -p tcp --dport 80 -j TPROXY --on-port 3129
>>>
>>> ## ETH5 nesta interface está ligado o cabo de entrada de todo o trafego
>>> dos
>>> clientes
>>> IPT -t mangle -A PREROUTING -p tcp -i eth5 --dport 80 -j TPROXY
>>> --tproxy-mark 0x1/0x1 --on-port 3129
>>>
>>> ip rule add fwmark 1 lookup 100
>>> ip route add local 0.0.0.0/0 dev lo table 100
>>> echo 0 > /proc/sys/net/ipv4/conf/lo/rp_filter
>>> echo 1 > /proc/sys/net/ipv4/ip_forward
>>>
>>> OBS: As interfaces eth4 e eth5 estão na bridge br0
>>>
>>> #### BRIDGE ###
>>> iface br0 inet static
>>>        bridge_ports eth4 eth5
>>>        adress xxx.xx.xxx.xx
>>>        netmask 255.255.255.224
>>>        gateway xxx.xx.xxx.xx
>>>
>>> /usr/sbin/brctl addbr br0
>>> /usr/sbin/brctl addif br0 eth4
>>> /usr/sbin/brctl addif br0 eth5
>>>
>>> /sbin/ifconfig br0 xxx.xx.xxx.xx netmask 255.255.255.224
>>> /sbin/ifconfig eth4 0.0.0.0
>>> /sbin/ifconfig eth5 0.0.0.0
>>>
>>> /sbin/ifconfig eth4 up
>>> /sbin/ifconfig eth5 up
>>>
>>>
>>>
>>> 2009/11/19 Renato Murilo Langona <renato at linuxsecurity.com.br>
>>>
>>>
>>>
>>>       
>>>> Voce esta tentando utilizar a mesma versao acima, do amigo Marcelus? Esta
>>>> com o tproxy habilitado no kernel e no netfilter, assim como no squid
>>>> (versao 3.1 ja tem incorporado)? Esta utilizando a opcao
>>>> tcp_outgoing_address em seu squid.conf? Adicione uma porta de conexao
>>>> direta
>>>> no seu squid http_port 3130 e faca um redirect simples para ela, para
>>>> testar
>>>> se esta tudo ok com sua conf tbem... Se quiser maior debugging das msgs e
>>>> erros, utilize a opcao X ao inicializar o servico...
>>>>
>>>> Abs!
>>>>
>>>> Luzivan escreveu:
>>>>
>>>>  Prezado Renado Murilo, o Marcelus já tem um Squid em funcionamento com o
>>>>
>>>>
>>>>         
>>>>> tproxy, eu estou tentando colocar o meu pra funcionar, mas até o momento
>>>>> não
>>>>> conseguir fazer com o squid pare de reportar este problema.
>>>>>
>>>>> commBind: Cannot bind socket FD 987 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 987 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 987 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 987 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 1059 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 1059 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 1059 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 1059 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 1094 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 1094 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 1094 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 1094 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 1109 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 1109 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>> commBind: Cannot bind socket FD 1109 to xxx.xxx.xxx.xxx: (22) Invalid
>>>>> argument
>>>>> WARNING: Reset of FD 1109 for xxx.xxx.xxx.xxx failed to bind: (22)
>>>>> Invalid
>>>>> argument
>>>>>
>>>>> Isto começa acontecer logo que começa o trafego e ninguem navega.
>>>>>
>>>>> 2009/11/19 Renato Murilo Langona <renato at linuxsecurity.com.br>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>           
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>>>
>>>>         
>>>
>>>
>>>
>>>       
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>     
>
>
>
>

More information about the gter mailing list