Squid

Imagen de xime

Forums: 

Muy amigos de ecualug, tengo un problema con mi servidor squid, últimamente ha empezado a estar muy muy lento, tanto que mejor lo he detenido y por el momento estoy solo haciendo forward, sin control, hasta solucionar este inconveniente, en los mensajes de cache tengo una advertencia:


WARNING! Your cache is running out of filedescriptors

Así que procedí a realizar lo recomendado por falcom en este post: Squid lento

Tengo unas dudas con esto; antes de cambiar el archivo /proc/sys/fs/file-max, tengo un valor de 204891, según yo al ser mayor no lo tengo que cambiar, ¿o si?

Segunda duda, en squid tengo el parámetro: max_filedesc, tengo que cambiarlo? o solo con lo anterior ya funciona?

Cuando realizo un arp -a en mi servidor recibo mensajes de direcciones que no son de mi red como tratando de conectarse al servidor:

Mi red es la: 192.168.0.2

[quote]? (192.168.0.20) at 00:XX:XX:XX:XX [ether] on eth1
? (172.16.229.195) incomplete at [ether] on eth1
? (172.16.230.8) incomplete at [ether] on eth1
? (172.16.231.136) at incomplete [ether] on eth1
? (192.168.0.49) at XX:XX:XX:XX:XX:XX [ether] on eth1
[/quote]

Y así muchísimas, en varias redes, ¿alguna idea de cual puede ser el problema?

Desde ya muchas gracias por las respuestas!

subir los fd se hace en redes

Imagen de Epe

subir los fd se hace en redes muy grandes, en isp y cosas así.. tu tienes una red grandota? Sino el problema puede ser una máquina con virus o troyano que acostumbran a agotar tus recursos, o alguien aplicando un ataque contra tu squid.. reconoces esas ips? sino, eliminalas encuentralas y sacalas de tu red.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Lo primero, como sacaste el

Imagen de falcom

Lo primero, como sacaste el num de filedescriptor? asi deberias hacerlo como root en tu server donde corre squid

# squidclient mgr:info | grep 'file descri'
# squidclient -p {port} -u {proxy-user} -w '{proxy-password}' mgr:info | grep 'file descri'
# squidclient -p 8080 -u admin -w 'secretePassword' mgr:info | grep 'file descri'

una vez verificado y si te bota un num bajo 1024 (bajo en teoria y lo digo x q tengo una red de 300+ users y jamaz le he aumentado el num de file descriptors)ahora si aumentas el num de file desc


# vi /etc/security/limits.conf
aumentale de 1024 to 4096:
* - nofile 4096

graba y cierra el archivo y cierra tu session como root, ingresa nuevamente y coloca:

# ulimit -a | grep 'open files'

deberia darte


open files (-n) 4096

ahora recien vas a configurar tus file descriptors en tu squid proxy server

service squid stop


vim /etc/squid/squid.conf

agrega o modifica el parametro max_filedesc a:

max_filedesc 4096

luego

service squid start

Puedes testear asi:

squidclient mgr:info

Sobre lo otro

[quote]Cuando realizo un arp -a en mi servidor recibo mensajes de direcciones que no son de mi red como tratando de conectarse al servidor:

Mi red es la: 192.168.0.2[/quote]
me parece q se te estan metiendo a tu red ya q el arp uniacmente deberia botarte ips de tu rango 192.168.0.xx
para scanear y tumbar quien se te esta tratando de meter/tumbar tu server es otro cantar!!

seria de poner algún tipo

Imagen de Ascii

seria de poner algún tipo howto respondo este tema cada 2 años.

mira mis repuestas a estos post, olvídate del aumentar los filedescriptors esto no soluciona nada y te va a consumir recursos de tu servidor.

Esto es un problema de Squid Transparente + cliente con virus.

http://www.ecualug.org/2008/10/20/forums/problema_con_squid

http://www.ecualug.org/?q=2008/07/06/forums/your_cache_running_out_filedescriptors

También puede buscar una opción en el squid que limite el numero de conexiones por cliente.

salu2

Muchas gracias por la ayuda,

Imagen de xime

Muchas gracias por la ayuda, aumente el número de file descriptors y mejoró el desempeño de squid. Estos dias hago busqueda extensiva de pcs infectados.

Mañana pruebo cambiando el valor de client_lifetime.

Gracias por todo!

http://poquiblog.blogspot.com/

esta es otra opción para

Imagen de Ascii

esta es otra opción para limitar el numero de conexiones por cliente (nunca lo he probado)

http://www.cyberciti.biz/tips/howto-limit-squid-proxy-number-web-connections.html

salu2

yo si lo probe alguna vez y

Imagen de falcom

yo si lo probe alguna vez y es valido cuando abres mas de una ventana de tu browser es decir antes de q saliera firefox con sus pestañas... asi q no te controla el num de pestañas q puedes abrir en una misma ventana de tu browser x lo tanto no es valido en squid 2.6 no le he probado en squid 3

No duró mucho la solución,

Imagen de xime

No duró mucho la solución, hoy volvió a fallar el squid. Y eso que aumenté los file descriptors a 8192. También probé modificando el client_lifetime.

Tengo que parar el squid e iniciarlo manualmente para que vuelva a funcionar normalmente =/

http://poquiblog.blogspot.com/

entonces no creo q sea

Imagen de falcom

entonces no creo q sea problema de squid, por lo visto estas recibiendo ataques mas q seguro de una maquina infectada dentro de tu lan, por q no revisas tus logs para q veas cual es la ip atacante...

Pues si, ya detecté las

Imagen de xime

Pues si, ya detecté las máquinas infectadas, sucede que van 7 hasta el momento, es un virus que trata de conectarse como 2000 veces a 9 páginas web.

Por el momento sigo en constante monitoreo por si aparece una nueva máquina infectada.

Muchas gracias a todos por la ayuda!

http://poquiblog.blogspot.com/

Páginas