freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-19 18:06:14

Доброго времени суток, уважаемые форумчане! Прошу не пинать меня сильно ногами, будет много букфф, и в freeBSD я нубас... :)
Ситуация такая - на новой работе стоит шлюз на freeBSD, 9.3, используется pppoe соединение с провайдером. В офисе около 25-ти компов и 4-е сервера, один из них сам шлюз. До недавнего времени инет раздавался без проблем. И вот уже несколько недель инет тупит. На многие сайты не заходит по 30-40 сек. выдает ошибку - err_timed_out. Пинг при этом идет нормально на данные сайты. Бывает, что нужно несколько раз обновить страничку, а бывает, что сама загружается через 15-20 сек. Если страничка загрузилась, то какое-то время без проблем можно ходить по внутренним ссылкам. При том, что пока одни сайты не грузятся, на определенные сайты в это же самое время можно зайти вообще без проблем. С фтп через инет так же качается все без проблем. За эти пару недель были несколько дней, что инет работал без проблем.Например, в прошлую субботу был на работе наш программист, сказал, что целый день все было норм. Сегодня тоже до обеда инет работал без глюков. До меня было несколько администраторов и система "загажена" прилично. Долгое время пытаюсь нагуглить что-то по этому поводу, но безрезультатно. С провайдером общался, говорит, что с его стороны все ок. Так же подключал сетевой кабель от провайдера непосредственно в wi-fi роутер под теми же учетными данными. Интернет работает без проблем.
Еще зачем-то в системе установлен squid, хотя прокси сервер никто не использует, т.е. в сетевых настройках клиентских ПК прописываю ip-адрес шлюза. Так же не пойму по какой причине система не дает редактировать resolv.conf, хотел почистить его у прописать DNS провайдера, а то там около десятка непонятных публичных DNS. Еще через шлюз проброшены порты для RDP подключения к серверу 1С и вебке 1С. Не знаю связанно ли это как-то или нет, но проблемы с инетом начались через несколько дней после того как наши сервера были атакованы. Не возможно было подключиться по RDP, и очень тормозила вебка 1С. Атакующие адреса забанил в ipfw руками.
В rc.conf прописано вот такое...

Код: Выделить всё

keymap="ua.koi8-u.shift.alt"
ifconfig_alc0="DHCP"
ifconfig_em0="inet 192.168.1.99 netmask 255.255.255.0"
hostname="gatew"
gateway_enable="YES"

ppp_enable="YES"
ppp_mode="ddial"
#ppp_nat="YES"
ppp_profile="vinfast"

#ipnat_enable="YES"

firewall_enable="YES"
#firewall_nat_enable="YES"
#firewall_nat_interface="alc0"
firewall_type="OPEN"
#firewall_script="/etc/ipfw.rules"
#firewall_quiet="NO"

#natd_enable="YES"
#natd_flags="-f /etc/natd.conf"
#natd_interface="alc0"
#natd_flags="-dynamic -m" # -m = ╨╧ ╫╧┌═╧╓╬╧╙╘╔ ╙╧╚╥┴╬╔╘╪ ╬╧═┼╥┴ ╨╧╥╘╧╫
#natd_flags="-m -f /etc/natd.conf"

rinetd_enable="YES"
gateway_enable="YES"

squid_enable="YES"
nfs_server_enable="YES"
rpcbind_enable="YES"
sshd_enable="YES"
openssh_enable="YES"

named_enable="YES"
named_uid="bind"
named_chrootdir=""
named_flags="-s"
#named_program="/usr/sbin/named"
#named_flags="-u bind -g bind"
inetd_enable="YES"
apache_enable="YES"
#sendmail_enable="NONE"
#sendmail_flags="-bd"
#sendmail_pidfile="/var/spool/postfix/pid/master.pid"
#sendmail_procname="/usr/local/libexec/postfix/master"
#sendmail_outbound_enable="NO"
sendmail_submit_enable="NO"
#sendmail_msp_queue_enable="NO"
#postfix_enable="YES"
exim_enable="YES"
mysql_enable="YES"
dovecot_enable="YES"

fsck_y_enable="YES"
background_fsck="NO"

swapfile="/usr/swapfile"

#proftpd_enable="YES"

nmb_enable="YES"
samba_enable="Yes"
ntpdate_enable="YES"
netwait_enable="YES"
netwait_ip="$defaultrouter"
nfs_server_enable="YES"

kerberos5_server_enable="YES"
kadmind5_server_enable="YES"

pf_enable="YES"
pf_rules="/etc/pf.conf"
pf_program="/sbin/pfctl"
pf_flags=""
defaultrouter="192.168.1.99"
pflog_enable="YES"
pflog_logfile="/var/log/pf.log"
pflog_flag=""
В named.log куча ошибок подобного характера -

Код: Выделить всё

Nov 17 01:00:55 gatew named[1440]: error (unexpected RCODE REFUSED) resolving 'wpad.ic-misto.com/A/IN': 194.50.125.10#53
Nov 17 01:00:55 gatew named[1440]: error (unexpected RCODE REFUSED) resolving 'wpad.ic-misto.com/A/IN': 212.224.70.35#53
Nov 17 01:01:02 gatew named[1440]: error (unexpected RCODE REFUSED) resolving 'genuine.adobe.com/A/IN': 194.50.125.10#53
Nov 17 01:01:02 gatew named[1440]: error (unexpected RCODE REFUSED) resolving './NS/IN': 194.50.125.10#53
Nov 17 01:01:02 gatew named[1440]: error (unexpected RCODE REFUSED) resolving 'genuine.adobe.com/A/IN': 212.224.70.35#53
Nov 17 01:01:02 gatew named[1440]: error (unexpected RCODE REFUSED) resolving './NS/IN': 212.224.70.35#53
Nov 17 01:01:03 gatew named[1440]: error (connection refused) resolving 'genuine.adobe.com/A/IN': 212.224.70.17#53
но в логах годичной давности они тоже присутствовали, и тем не менее интернет работал нормально.
Помогите, пожалуйста, разобраться в чем может крыться причина? Подозрения, что как-то криво стал работать DNS, но что именно нужно сделать или проверить не знаю. Думал сам смогу разобраться, но несколько недель уже ничего не получается.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение novik » 2019-12-19 23:00:32

oleg_max писал(а):
2019-12-19 18:06:14
Подозрения, что как-то криво стал работать DNS, но что именно нужно сделать или проверить не знаю.
Задайте вручную в свойствах соединения на клиенте адрес DNS(к примеру 8.8.8.8, или провайдерский). Если DNS работать не будет, посмотрите в
oleg_max писал(а):
2019-12-19 18:06:14
pf_rules="/etc/pf.conf"
что у вас firewall делает в DNS-трафиком и временно отключите это (совсем или только для IP того клиента с которого тестируете). Протестируйте
oleg_max писал(а):
2019-12-19 18:06:14
ошибку - err_timed_out
«О сколько нам открытий чудных готовит просвещения дух...»™

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 2:19:33

Забыл написать, что пробовал на клиентских машинах менять DNS на провайдеровские, адреса резолвятся нормально, но результат тот же. Все равно инет лагает. Гугловские DNS тоже пробовал

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение snorlov » 2019-12-20 10:40:55

Смотрите правила файеров ,таблицу маршрутизации, и как настроен нат, у вас могут банально некоторые запросы инета отправлятся в интерфейс alc, а не в ppp...
P.S. и и вообще что у вас делает
oleg_max писал(а):
2019-12-19 18:06:14
defaultrouter="192.168.1.99"
есть есть
oleg_max писал(а):
2019-12-19 18:06:14
ifconfig_alc0="DHCP"
oleg_max писал(а):
2019-12-19 18:06:14
ppp_enable="YES"
ppp_mode="ddial"
#ppp_nat="YES"
ppp_profile="vinfast"

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение novik » 2019-12-20 13:06:14

[ quote=oleg_max post_id=390325 time=1576767974 user_id=28220]
В rc.conf прописано вот такое...[/quote]
Разберитесь какая сетевая служба какую функцию у вас выполняет и уберите оттуда лишнее. К примеру
oleg_max писал(а):
2019-12-19 18:06:14
зачем-то в системе установлен squid, хотя прокси сервер никто не использует
Ну так и...

Код: Выделить всё

/usr/local/etc/rc.d/squid stop
:wink: Может ничего и не случится, если действительно не используется. Или смотрите его логи и правила firewall(ов), что бы знать наверняка к чему приведёт его останов.
«О сколько нам открытий чудных готовит просвещения дух...»™

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 13:53:53

snorlov писал(а):
2019-12-20 10:40:55
Смотрите правила файеров ,таблицу маршрутизации, и как настроен нат, у вас могут банально некоторые запросы инета отправлятся в интерфейс alc, а не в ppp...
Если Вас не затруднит, можете подсказать на что нужно обратить внимание в таблице маршрутизации и в настройках нат?
А по поводу
snorlov писал(а):
2019-12-20 10:40:55
P.S. и и вообще что у вас делает
oleg_max писал(а): ↑2019-12-19 17:06:14
defaultrouter="192.168.1.99"

Честно даже не знаю, что ответить... Это внутренний адрес самого шлюза. Как я уже писал ранее, до меня тут "хозяйничали" несколько админов, и что каждый пытался делать с системой для меня загадка... Поскольку опыта работы с freeBSD не имею, я не представляю для чего вообще могли добавить данную строку. Кто-то из предыдущих деятелей еще и ssh умудрился запороть, видать неправильно обновил систему. Но это вопрос для отдельной темы.

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение novik » 2019-12-20 14:46:33

oleg_max писал(а):
2019-12-20 13:53:53
Это внутренний адрес самого шлюза.
oleg_max писал(а):
2019-12-19 18:06:14
ifconfig_em0="inet 192.168.1.99 netmask 255.255.255.0"
oleg_max писал(а):
2019-12-20 13:53:53
Поскольку опыта работы с freeBSD не имею, я не представляю для чего вообще могли добавить данную строку.
Почитайте Руководство FreeBSD, там всё не плохо изложено.
defaultrouter это попытка назначит default gateway, но он у вас наверное в /etc/ppp/ppp.conf переопределяеся.
«О сколько нам открытий чудных готовит просвещения дух...»™

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение snorlov » 2019-12-20 14:50:32

Надо посмотреть куда пинаются пакеты, по идеи все пакеты с локалки должны отправляься на нат и с него на ppp, судя по всему, нат у вас задействован в pf, который все у вас и рулит, вполне возможно какие то правила у него и не срабатывают из-за того, что ppp поднимается позже него, но это только догадка, не больше, да и честно говоря вы бы провели бы ревизию сервера на тему, что вам от него сейчас надо, если судить по rc.conf он выполняет роль почтовика, nfs сервера, dns сервера , smb сервера, поднят керберос

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 15:29:54

novik писал(а):
2019-12-20 14:46:33
defaultrouter это попытка назначит default gateway, но он у вас наверное в /etc/ppp/ppp.conf переопределяеся.
Вот сожержимое ppp.conf

Код: Выделить всё

default:
#  set log Phase tun command
  set log Phase Chat LCP IPCP CCP tun command
#  set ifaddr 0.0.0.0/0
  set timeout 200
  enable lqr

vinfast:
  set device PPPoE:alc0
  set authname insurance
  set authkey insurance
  set dial
  set login
  add default HISADDR
  enable dns 
Читал мануалы по настройке pppoe, вроде бы в конф файле все правильно. Еще в автозагрузке висит скрипт, который перезапускает рррое при отсутствии пинга на указанный сервер. Был там гугловский DNS прописан, соединение периодически перезапускалось и провайдер видел секундные разрывы соединения. Прописал в скрипте сервер провайдера, который провайдер сказал, что можно постоянно пинговать, переконнекты пропали, но проблема с непрогружающимися сайтами не исчезла.

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 15:49:32

snorlov писал(а):
2019-12-20 14:50:32
если судить по rc.conf он выполняет роль почтовика, nfs сервера, dns сервера , smb сервера, поднят керберос
Да, сервер еще выполняет роль почтовика. SMB - на сервере подключен винчестер на 2Тб на нем всякий софт и архивы, доступ только по логину/паролю и пользуюсь им только я. Зачем был поднят NFS в душе не чаю... керберос я так понимаю был поднят для NFS, А по поводу ДНС сервера вот тут тоже у меня вопросов больше чем ответов. Офис маленький (25 компов) и свой сервер ДНС, насколько я разбираюсь, нам не нужен. Но чем руководствовался человек поднявший данный сервер для меня загадка... В named.conf в поле forwarders было около десятка публичных ДНС, все убрал, оставил только провайдеровские и 8.8.8.8. Не помогло. Хотел отредактировать resolv.conf, (и попробовать отключить "named" в rc.conf) потому что там тоже около десятка публичных ДНС, но система не дает сохранить в нем (в resolv.conf) изменения даже под рутом. Выдает - operation not permitted. Права на resolv.conf смотрел - владелец root, группа wheel, разрешения стоят.

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 15:58:10

novik писал(а):
2019-12-20 13:06:14
Ну так и...
КОД: ВЫДЕЛИТЬ ВСЁ

/usr/local/etc/rc.d/squid stop
Может ничего и не случится, если действительно не используется. Или смотрите его логи и правила firewall(ов), что бы знать наверняка к чему приведёт его останов.
Логи сквида сейчас вот посмотрел... cache.log датируется 6-м декабря, а access.log 26-м ноября... как раз примерно когда начались проблемы с инетом.
в cache.log

Код: Выделить всё

2019/12/06 17:40:03| Preparing for shutdown after 0 requests
2019/12/06 17:40:03| Waiting 30 seconds for active connections to finish
2019/12/06 17:40:03| FD 13 Closing HTTP connection
2019/12/06 17:58:48| Starting Squid Cache version 3.1.10 for amd64-portbld-freebsd8.2...
2019/12/06 17:58:48| Process ID 1597
2019/12/06 17:58:48| With 57321 file descriptors available
2019/12/06 17:58:48| Initializing IP Cache...
2019/12/06 17:58:48| ipcacheAddEntryFromHosts: Bad IP address '<<<<<<<'
2019/12/06 17:58:48| ipcacheAddEntryFromHosts: Bad IP address '>>>>>>>'
2019/12/06 17:58:48| DNS Socket created at 0.0.0.0, FD 7
2019/12/06 17:58:48| Adding domain IC-MISTO from /etc/resolv.conf
2019/12/06 17:58:48| Adding domain IC-MISTO.com from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 8.8.8.8 from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 209.244.0.3 from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 184.169.143.224 from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 208.67.222.222 from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 195.46.39.39 from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 193.107.107.2 from /etc/resolv.conf
2019/12/06 17:58:48| Adding nameserver 193.107.107.3 from /etc/resolv.conf
2019/12/06 17:58:48| Unlinkd pipe opened on FD 12
2019/12/06 17:58:48| Store logging disabled
2019/12/06 17:58:48| Swap maxSize 0 + 1048576 KB, estimated 80659 objects
2019/12/06 17:58:48| Target number of buckets: 4032
2019/12/06 17:58:48| Using 8192 Store buckets
2019/12/06 17:58:48| Max Mem  size: 1048576 KB
2019/12/06 17:58:48| Max Swap size: 0 KB
2019/12/06 17:58:48| Using Least Load store dir selection
2019/12/06 17:58:48| Set Current Directory to /var/squid
2019/12/06 17:58:48| Loaded Icons.
2019/12/06 17:58:48| Accepting  intercepted HTTP connections at 0.0.0.0:3128, FD 13.
2019/12/06 17:58:48| Accepting ICP messages at 0.0.0.0:3130, FD 14.
2019/12/06 17:58:48| HTCP Disabled.
2019/12/06 17:58:48| /var/run/squid.pid: (1) Operation not permitted
2019/12/06 17:58:48| WARNING: Could not write pid file
2019/12/06 17:58:48| Ready to serve requests.
2019/12/06 17:58:49| storeLateRelease: released 0 objects 
Последние два это ДНС провайдера.

В access.log последнее что было

Код: Выделить всё

1564566408.387 240267 192.168.1.11 TCP_MISS/200 885 CONNECT clients6.google.com:443 - DIRECT/216.58.215.78 -
1564566409.392 240158 192.168.1.11 TCP_MISS/200 766 CONNECT people-pa.clients6.google.com:443 - DIRECT/216.58.215.74 -
1564566409.632 240231 192.168.1.11 TCP_MISS/200 1141 CONNECT people-pa.clients6.google.com:443 - DIRECT/216.58.215.74 -
1564566526.664 240259 192.168.1.11 TCP_MISS/200 5142 CONNECT chat-pa.clients6.google.com:443 - DIRECT/216.58.215.74 -
1564566526.853 429798 192.168.1.11 TCP_MISS/200 2179 CONNECT chat-pa.clients6.google.com:443 - DIRECT/172.217.16.10 -
1564566671.802 516947 192.168.1.11 TCP_MISS/200 1680 CONNECT play.google.com:443 - DIRECT/216.58.215.110 -
1564566671.804 231402 192.168.1.11 TCP_MISS/200 4074 CONNECT ssl.gstatic.com:443 - DIRECT/216.58.209.3 -
1564566671.806 1399360 192.168.1.11 TCP_MISS/200 24225 CONNECT play.google.com:443 - DIRECT/172.217.20.206 -
1564566671.807 357362 192.168.1.11 TCP_MISS/200 5077 CONNECT 17.client-channel.google.com:443 - DIRECT/173.194.222.189 -
1564566671.814 1440144 192.168.1.11 TCP_MISS/200 173586 CONNECT mail.google.com:443 - DIRECT/216.58.215.101 -
1574706368.653     37 91.123.157.56 TCP_DENIED/403 3735 GET http://ipdb-bot.ru/HttpRequest/spider3.ashx? - NONE/- text/html
1574753162.240     37 172.104.100.117 TCP_DENIED/403 3625 GET http://(тут внешний адрес нашего сервера):3128/ - NONE/- text/html
1574763960.033   6012 5.188.210.101 TCP_DENIED/403 3926 GET http://5.188.210.101/echo.php - NONE/- text/html
1574763961.563      0 5.188.210.101 TCP_DENIED/403 3926 GET http://5.188.210.101/echo.php - NONE/- text/html 

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение novik » 2019-12-20 16:34:42

oleg_max писал(а):
2019-12-20 15:29:54
Вот содержимое ppp.conf
Вот здесь у вас default gateway и переопределяется.
oleg_max писал(а):
2019-12-20 15:29:54
add default HISADDR
Строчка
oleg_max писал(а):
2019-12-19 18:06:14
defaultrouter="192.168.1.99"
в rc.conf, и такой default gateway, который она пытается задать не нужны.
oleg_max писал(а):
2019-12-20 15:49:32
и свой сервер ДНС, насколько я разбираюсь, нам не нужен
Если нет своей доменный зоны, то авторитарный не нужен. Но рекурсивный резольвер может пригодиться.
oleg_max писал(а):
2019-12-20 15:49:32
система не дает сохранить в нем (в resolv.conf) изменения даже под рутом. Выдает - operation not permitted
Может man chflags? Попробуйте:

Код: Выделить всё

chflags -R noschg /etc/resolv.conf
oleg_max писал(а):
2019-12-20 15:58:10
Логи сквида сейчас вот посмотрел...
Попробуйте отключить squid. И посмотрите в /etc/pf.conf, если squid работает в прозрачном режиме, то там должен быть редирект. Его надо убрать.
«О сколько нам открытий чудных готовит просвещения дух...»™

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 16:49:42

Судя по строкам:
oleg_max писал(а):
2019-12-20 15:58:10
1564566671.804 231402 192.168.1.11 TCP_MISS/200 4074 CONNECT ssl.gstatic.com:443 - DIRECT/216.58.209.3 - 1564566671.806 1399360 192.168.1.11 TCP_MISS/200 24225 CONNECT play.google.com:443 - DIRECT/172.217.20.206 - 1564566671.807 357362 192.168.1.11 TCP_MISS/200 5077 CONNECT 17.client-channel.google.com:443 - DIRECT/173.194.222.189 - 1564566671.814 1440144 192.168.1.11 TCP_MISS/200 173586 CONNECT mail.google.com:443 - DIRECT/216.58.215.101 -
Резолвинг у ТС вроде исправно работает.
Может кэш пересоздать? (И хватает-ли места под него?)
А нет-ли у сквида плагинов и все-ли с ними в порядке?
Может кто-то фильмы льет?
Статистику по пакетикам на внешнем интерфейсе не пробовали смотреть?

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 17:17:09

novik писал(а):
2019-12-20 16:34:42
Попробуйте отключить squid. И посмотрите в /etc/pf.conf, если squid работает в прозрачном режиме, то там должен быть редирект. Его надо убрать.
В pf.conf есть

Код: Выделить всё

# redirect traffic to proxy on localhost
# rdr pass on $ext_if proto tcp from any to [внешний_адрес_нашего_сервера] port 3389 -> 192.168.1.101 port 3389
rdr pass on $ext_if proto tcp from any to [внешний_адрес_нашего_сервера] port 3390 -> 192.168.1.103 port 3390
rdr pass on $ext_if proto tcp from any to [внешний_адрес_нашего_сервера] port 8080 -> 192.168.1.103 port 8080
если это то, о чем вы написали, то при отключении сквида перестанет работать проброс портов? Просто еще настроен rinetd, в нем такой же проброс портов. Я думал, что в pf.conf rdr pass нужен для того чтобы работал проброс портов rinetd.
Или другой редирект Вы имели в виду?

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 17:21:22

oleg_max писал(а):
2019-12-19 18:06:14
в прошлую субботу был на работе наш программист
Ключевое слово "суббота", т.е. сколько компов в этот день работало?
Может кто-то интернет-радио гоняет?
Или системы не централизованно грузят апдейты?
Одна вынь-десяка легко гигов 6 может гнать. (А если их несколько?)
Как вариант можно на выходных повключать (по очереди, по одному, с задержкой минут 10-15 и не выключая) компы и понаблюдать когда просадка пойдет. Еще и троянец изнутри гадить может.

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение novik » 2019-12-20 17:41:37

oleg_max писал(а):
2019-12-20 17:17:09
при отключении сквида перестанет работать проброс портов?
Нет. Но я не предлагал отключать squid навсегда. ;-) Локализовать проблему, убедиться это от него (или нет?), включить снова и продолжать разбираться с настройками squid.
oleg_max писал(а):
2019-12-20 17:17:09
Или другой редирект Вы имели в виду?
Я имел ввиду редирект из локальной сети 80 и 443-го портов на тот порт на котором работает squid. Что-то типа

Код: Выделить всё

rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 80 -> 192.168.1.103 port ???
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 443 -> 192.168.1.103 port ???
port ??? посмотреть в squid-конфиге.
«О сколько нам открытий чудных готовит просвещения дух...»™

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 17:43:10

novik писал(а):
2019-12-20 16:34:42
если squid работает в прозрачном режиме
Он имел в виду посмотреть в squid.conf наличие нечто подобного:

Код: Выделить всё

https_port 192.168.1.1:3129 intercept ssl-bump generate-host-certificates=on ...bla...bla...bla...
http_port 192.168.1.1:3128 options=NO_SSLv3:NO_SSLv2
Но тут может быть у каждого свой случай. Порыть можно в гугле про "squid transparent mode https". Это такой режим, когда на клиентах не нужно прописывать прокси сервер. И если прокси на гейте (но не обязательно), то сквид ловит пакетики "для сайтов" и пережевывает их через себя. И еще, посмотрите размер файла access.log бывает он может вырасти гигов до 10. Может его почикать нужно. И настроить чтоб не вырастал настолько. И что там кажет на счет запаса места на винчестере?

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 17:45:08

Demis писал(а):
2019-12-20 16:49:42
Может кэш пересоздать? (И хватает-ли места под него?)
А что даст пересоздание кеша? И где этот файл находится?
Думал выполнить сброс кеша - "rndc flush" но по не имению опыта не стал этого делать. Спросить не у кого было.
Demis писал(а):
2019-12-20 16:49:42
А нет-ли у сквида плагинов и все-ли с ними в порядке?
Подскажете как посмотреть какие могут быть установлены плагины? И как проверить все ли в порядке со сквидом?
Demis писал(а):
2019-12-20 16:49:42
Может кто-то фильмы льет?
Статистику по пакетикам на внешнем интерфейсе не пробовали смотреть?
Была мысля по поводу того, что кто-то периодически что-то качает. Мониторил systat -ifstat 1 никакого бешеного трафика нет. Ни исходящего не входящего. Пиковый входящий 4 Мб пиковый исходящий 1 Мб. А так средний трафик 250 Кб/с входящий, и около 100Кб/с исходящий. С внешнего ФТП качал образ freeBSD скорость была в пределах наших 40 Мбит. При этом сайты на клиентских машинах, как и на моей глючили, кроме некоторых, которые всегда работают без проблем.
Demis писал(а):
2019-12-20 17:21:22
Ключевое слово "суббота", т.е. сколько компов в этот день работало?
Может кто-то интернет-радио гоняет?
От дня недели это не зависит. Хотя на работе девчонки пользуют интернет-радио, целый день слушают музыку, и до проблем с инетом тоже слушали. Так же пробовал поздно вечером из дому подключаться по RDP к нашему серверу, и серфить в интернете, ошибка есть, сайты тормозят... пробовал только свой комп через отдельный роутер подключать к шлюзу, результат тот же, инет тормозит.

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 18:03:14

oleg_max писал(а):
2019-12-20 17:45:08
А что даст пересоздание кеша?
Сложно сказать, но бывает при неудачной вырубке железки кэш может гадить.
oleg_max писал(а):
2019-12-20 17:45:08
И где этот файл находится?
Искать в squid.conf фразу примерно такую

Код: Выделить всё

cache_dir ufs /usr/local/squid/cache 100 16 256
Ключевое слово cache_dir .
oleg_max писал(а):
2019-12-20 17:45:08
"rndc flush"
Эта команда сбрасывает кэш ДНС, но не сквида.
oleg_max писал(а):
2019-12-20 17:45:08
какие могут быть установлены плагины
например поискать icap_enable и что-то подобное

Код: Выделить всё

icap_service service_avi_req reqmod_precache bypass=off icap://127.0.0.1:1344/srv_clamav
icap_service service_avi respmod_precache bypass=off icap://127.0.0.1:1344/srv_clamav
Это, к примеру, проверка на вирус через c-icap модуль завязанный, в свой очередь, на clamav антивирус.
Но на факт, что это у Вас используется.

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 18:07:56

И да, как удалять, сбрасывать кэш:

Код: Выделить всё

/usr/local/etc/rc.d/squid stop
rm -r /usr/local/squid/cache/* (путь подставьте Ваш из squid.conf)
squid -z (это сгенерирует кэш заново)
/usr/local/etc/rc.d/squid start
Если c-icap есть, то его тоже нужно стопорить, равно как и антивир.

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 18:12:17

novik писал(а):
2019-12-20 17:41:37
Я имел ввиду редирект из локальной сети 80 и 443-го портов на тот порт на котором работает squid. Что-то типа
КОД: ВЫДЕЛИТЬ ВСЁ

rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 80 -> 192.168.1.103 port ???
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 443 -> 192.168.1.103 port ???
port ??? посмотреть в squid-конфиге.
ничего похожего в pf.conf нет...

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 18:19:28

Не много не там Вы посмотрели.
oleg_max писал(а):
2019-12-20 18:12:17
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 80 -> 192.168.1.103 port ???
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 443 -> 192.168.1.103 port ???
port ??? посмотреть в squid-конфиге.
Смотреть порт ??? (т.е. подставляете свой номер, например 8080) нужно в squid.conf

Demis
прапорщик
Сообщения: 496
Зарегистрирован: 2015-05-25 14:36:32

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение Demis » 2019-12-20 18:23:01

Если у Вас много комментариев в файле squid.conf , то удобнее вывести без комментов например так:

Код: Выделить всё

cat /usr/local/etc/squid/squid.conf | grep -v '^#' | sed '/^$/d'
На выходе получите только то, что прописано в конфиге.

oleg_max
ефрейтор
Сообщения: 56
Зарегистрирован: 2019-12-19 17:26:07

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение oleg_max » 2019-12-20 18:30:05

Demis писал(а):
2019-12-20 17:43:10
И что там кажет
КОД: ВЫДЕЛИТЬ ВСЁ

df -H
на счет запаса места на винчестере?
/usr - 114 Gb
/var - 188 Gb

access.log - 48 Mb

Аватара пользователя
novik
мл. сержант
Сообщения: 146
Зарегистрирован: 2018-07-26 23:52:57

freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

Непрочитанное сообщение novik » 2019-12-20 18:30:29

Demis писал(а):
2019-12-20 18:19:28
(т.е. подставляете свой номер, например 8080) нужно в squid.conf
Посомтреть в squid.conf на каком потру запущен squid. Можно просто просто

Код: Выделить всё

sockstat | grep squid
Найти редирект на этот порт из локальной сети. (В pf или в rinetd.)
Убрать редирект.
Потестировать работу интернета напрямую через NAT без прокси сервера.
Если всё ok, вернуть всё обратно, настраивать squid.
Если нет — искать проблему не в squid.
«О сколько нам открытий чудных готовит просвещения дух...»™