У меня есть брандмауэр и прокси-сервер, работающие в течение последних 2 лет. это основано на slackware64 - v14.0 и обычно работал долгое время между перезагрузками. До недавнего времени все работало нормально. Ни у кого больше нет доступа к этой системе, и я не возился с ней около 60 дней.
Недавно я настраивал новый ноутбук и понял, что Интернет работает МЕДЛЕННО при доступе к веб-страницам. На самом деле http (порт 80) сайты вообще не загружались, https и другие службы / порты хотя работали.
Заглянув в него, я понял, что после перезапуска прокси-сервера Squid все работает нормально, и снова работает некоторое время. Опять же, через некоторое время никаких http-сайтов ... Я попытался удалить весь прокси-кеш и повторно настроить кеш, используя squid -z но безрезультатно. Проблема, кажется, возвращается.
журналы не говорят ничего необычного (в основном TCP попадает и пропускает), но было странно, что размер журнала был 907 МБ (хотя у меня есть logrotate для журналов squid, включенных из squid.conf). Он не смог найти в нем ничего неправильного, кроме того, почему ротация (которая работала до 60 дней назад) не работает .. Несмотря на то, что я сделал ручное вращение, проблема все еще возвращается, поэтому я отключил использование squid для момент (отключив перенаправление брандмауэром порта 80).
Это очень странно, и я не знаю, с чего начать. У кого-нибудь были с этим проблемы?
Некоторые обновления:
Проблема взлома начинается, когда я пытаюсь получить доступ к любому http-сайту с определенного ноутбука (который подключается к внутреннему Wi-Fi). Существуют и другие ноутбуки и мобильные устройства, которые подключаются к Интернету через этот Wi-Fi, и даже настольный компьютер с USB-Wi-Fi ключом, но когда этот ноутбук пытается получить доступ к веб-странице, http-Интернет для кого-либо больше не существует.
Линия перенаправления межсетевого экрана следующая:
$IPT -t nat -A PREROUTING -p tcp -i $LOCAL_IFACE -s $LOCAL_NET --destination-port 80 -j REDIRECT --to-ports 3128 #TRANSP PROXY
Если я вообще не «трогаю» squid после того, как он перестал работать, а просто закомментирую вышеприведенную строку и перезапускаю брандмауэр, интернет снова заработает.
Скажи, что я снова раскомментирую это. Интернет снова ушел.
пока squid находится "в курсе": sar 1 1000 возвращает:
02:56:51 AM all 4.52 0.00 1.01 0.00 0.00 94.47
02:56:52 AM all 5.00 0.00 1.00 0.00 0.00 94.00
02:56:53 AM all 5.00 0.00 1.00 2.50 0.00 91.50
02:56:54 AM all 4.50 0.00 1.50 0.00 0.00 94.00
02:56:55 AM all 4.50 0.00 1.50 0.00 0.00 94.00
02:56:56 AM all 4.52 0.00 1.01 0.00 0.00 94.47
02:56:57 AM all 4.98 0.00 1.49 0.00 0.00 93.53
пока squid не "в курсе", sar возвращает:
02:58:36 AM CPU %user %nice %system %iowait %steal %idle
02:58:37 AM all 1.01 0.00 0.50 0.00 0.00 98.49
02:58:38 AM all 2.00 0.00 0.50 2.00 0.00 95.50
02:58:39 AM all 1.00 0.00 0.50 0.00 0.00 98.50
02:58:40 AM all 2.00 0.00 0.00 0.00 0.00 98.00
02:58:41 AM all 1.50 0.00 0.00 0.00 0.00 98.50
поэтому использование ЦП пользователем немного ниже.
пока все это происходит iotop показывает 0.00% использование дисков для потоков squid ...
кроме того, последние записи squid, увиденные с: tail -f access.log являются:
1389834351.849 382 192.168.18.25 TCP_MISS/200 335 POST http://serverfault.com/posts/validate-body - DIRECT/198.252.206.16 application/json
1389834353.197 388 192.168.18.25 TCP_MISS/200 335 POST http://serverfault.com/posts/validate-body - DIRECT/198.252.206.16 application/json
1389834372.791 453 192.168.18.25 TCP_MISS/200 349 POST http://serverfault.com/posts/566948/editor-heartbeat/edit - DIRECT/198.252.206.16 application/json
Вышеупомянутое скопировано, пока squid "не в курсе". и пока squid включен через брандмауэр:
1389834586.593 364 192.168.18.25 TCP_MISS/302 1538 GET http://log.dmtry.com/redir/140952/0/3316/100544580/55099663/210599/0/0/0/1.ver? - DIRECT/54.243.105.45 -
1389834586.634 167 192.168.18.25 TCP_MISS/200 38559 GET http://public.oneallcdn.com/img/api/socialize/providers/logo/sprite_35_35.png - DIRECT/93.184.220.20 image/png
1389834586.639 410 192.168.18.25 TCP_MISS/302 1563 GET http://log.dmtry.com/redir/560228/0/3316/100544579/55097980/858012/0/0/0/1.ver? - DIRECT/54.243.105.45 -
затем я пытаюсь получить доступ к чему-то с ноутбука (есть IP-адрес 192.168.18.186) и я получаю это http://pastebin.com/FM9QLtRC
поэтому я не понимаю, чем отличается до и после ...
Более того, когда нет Интернета, я даже не могу получить доступ к веб-сайту моего ADSL-модема, который находится на inet интерфейс моего межсетевого экрана / шлюзового сервера!
надеюсь, что все это поможет кому-то с большим знанием администрирования серверов