[proxy] squid代理服务器的一些疑问 [复制链接]

论坛徽章:: 0

21楼 [报告]

发表于 2014-12-04 08:53 |只看该作者

回复 20# woxizishen
1、已经改成

http_port 10.67.1.30：3128 transparent
2、echo "1048576" >/proc/sys/net/ipv4/ip_conntrack_max这一条确实么有用

#echo "1048576" >/proc/sys/net/ipv4/ip_conntrack_max
#/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog="2048"
一开始用的是64位系统，现在是32位，想问一下64位系统这两条参数怎么改

3、cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
运行下提示 “没有那个文件或目录”

echo "3600" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
这条运行下提示 “没有那个文件或者目录”
想说一下是centos6.3的

谢谢帮忙！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

woxizishen

版主

论坛徽章:: 24

22楼 [报告]

发表于 2014-12-04 13:46 |只看该作者

回复 21# mengcun123

1、echo "1048576" >/proc/sys/net/ipv4/ip_conntrack_max这一条确实么有用
你的centos版本这么新，早都变了，你执行这个没用的。
echo "1048576" > /proc/sys/net/nf_conntrack_max。你的竟然是32bit系统，建议你改成100000就好了。

2.cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
运行下提示 “没有那个文件或目录”

你的版本太高，名称已经改成nf_conntrack
cat /proc/net/nf_conntrack

如果执行撒都没有，记得cut -d ‘’ 这个2点里面没有空格。

3.echo "3600" > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
这条运行下提示 “没有那个文件或者目录”
想说一下是centos6.3的

高版本路径是这个：
echo "3600" > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

改这些参数都是有一定的危险性的，建议你测试几次，以最稳定的时候较佳。我给你的建议只是个参考，其实系统预设5天是有他自己的考量的，你首先是要执行上面那个命令查询是谁占用最多了iptables的表，找到他才是解决问题关键。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mengcun123

家境小康

论坛徽章:: 0

23楼 [报告]

发表于 2014-12-04 16:54 |只看该作者

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mengcun123

家境小康

论坛徽章:: 0

24楼 [报告]

发表于 2014-12-04 16:58 |只看该作者

回复 22# woxizishen

我把那个空格拿掉了，可以看到另个ip地址
一个是公网的ip，一个是我正在测试上网ip地址，前面的值只有1和2，比较小

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mengcun123

家境小康

论坛徽章:: 0

25楼 [报告]

发表于 2014-12-04 17:07 |只看该作者

回复 22# woxizishen

请再看一下脚本：特别是红色的地方

ME_DIR=/etc/squid/

##########################################################
## Clear all policy rule
##########################################################
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/ip route flush cache

##########################################################
## Initization all parameter
##########################################################
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
##########################################################

HOME_DIR=/etc/squid/

##########################################################
## Clear all policy rule
##########################################################
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/ip route flush cache

##########################################################
## Initization all parameter
##########################################################
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

##########################################################
## IP_V4 forward
##########################################################

echo "1"> /proc/sys/net/ipv4/ip_forward
echo "100000" > /proc/sys/net/nf_conntrack_max
echo "3600" > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established
#/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog="2048"

/sbin/route add -net 10.87.100.0/24 gw 10.67.1.30

/sbin/ifconfig eth0 -promisc
/sbin/ifconfig eth1 -promisc

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -A FORWARD -s 10.87.0.0/16 -d 0.0.0.0/0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128

exit 0

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

action08

巨富豪门

论坛徽章:: 223

26楼 [报告]

发表于 2014-12-04 17:45 |只看该作者

shell@ubuntu:~$
shell@ubuntu:~$ cat /proc/net/
anycast6    igmp          netfilter/    rt6_stats    tcp6
arp          igmp6       netlink       rt_acct       tr_rif
connector    ip6_flowlabel  netstat       rt_cache    udp
dev          ip6_mr_cache packet       snmp          udp6
dev_mcast    ip6_mr_vif    protocols    snmp6       udplite
dev_snmp6/    ip_mr_cache psched       sockstat    udplite6
fib_trie    ip_mr_vif    ptype       sockstat6    unix
fib_triestat ipv6_route    raw          softnet_stat wireless
icmp          mcfilter    raw6          stat/
if_inet6    mcfilter6    route       tcp
shell@ubuntu:~$ cat /proc/net/connector
Name          ID
cn_proc       1:1
shell@ubuntu:~$
shell@ubuntu:~$

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

action08

巨富豪门

论坛徽章:: 223

27楼 [报告]

发表于 2014-12-04 17:47 |只看该作者

shell@ubuntu:~$
shell@ubuntu:~$ sudo cat /proc/slabinfo
slabinfo - version: 2.1
# name          <active_objs> <num_objs> <objsize> <objperslab> <pagesperslab> : tunables <limit> <batchcount> <sharedfactor> : slabdata <active_slabs> <num_slabs> <sharedavail>
ip6_dst_cache       50    50 320 25 2 : tunables 0 0 0 : slabdata    2    2    0
UDPLITEv6             0    0 1024 16 4 : tunables 0 0 0 : slabdata    0    0    0
UDPv6                32    32 1024 16 4 : tunables 0 0 0 : slabdata    2    2    0
tw_sock_TCPv6       25    25 320 25 2 : tunables 0 0 0 : slabdata    1    1    0
TCPv6                34    34 1856 17 8 : tunables 0 0 0 : slabdata    2    2    0
flow_cache          0    0 104 39 1 : tunables 0 0 0 : slabdata    0    0    0
kcopyd_job          0    0 3240 10 8 : tunables 0 0 0 : slabdata    0    0    0
dm_uevent             0    0 2608 12 8 : tunables 0 0 0 : slabdata    0    0    0
dm_rq_target_io       0    0 408 20 2 : tunables 0 0 0 : slabdata    0    0    0
cfq_queue          34    34 232 17 1 : tunables 0 0 0 : slabdata    2    2    0
bsg_cmd             0    0 312 26 2 : tunables 0 0 0 : slabdata    0    0    0
mqueue_inode_cache    18    18 896 18 4 : tunables 0 0 0 : slabdata    1    1    0
fuse_request       52    52 608 26 4 : tunables 0 0 0 : slabdata    2    2    0
fuse_inode          46    46 704 23 4 : tunables 0 0 0 : slabdata    2    2    0
ecryptfs_key_record_cache    0    0 576 28 4 : tunables 0 0 0 : slabdata    0    0    0
ecryptfs_inode_cache    0    0 960 17 4 : tunables 0 0 0 : slabdata    0    0    0
hugetlbfs_inode_cache    27    27 600 27 4 : tunables 0 0 0 : slabdata    1    1    0
journal_handle    340 340    24  170 1 : tunables 0 0 0 : slabdata    2    2    0
journal_head       288 288 112 36 1 : tunables 0 0 0 : slabdata    8    8    0
revoke_record       256 256    32  128 1 : tunables 0 0 0 : slabdata    2    2    0
ext4_inode_cache 6498 6498 880 18 4 : tunables 0 0 0 : slabdata 361 361    0
ext4_free_data    146 146    56 73 1 : tunables 0 0 0 : slabdata    2    2    0
ext4_allocation_context 270 270 136 30 1 : tunables 0 0 0 : slabdata    9    9    0
ext4_io_end       116 116 1128 29 8 : tunables 0 0 0 : slabdata    4    4    0
ext4_io_page       8960 8960    16  256 1 : tunables 0 0 0 : slabdata    35    35    0
ext3_inode_cache    0    0 776 21 4 : tunables 0 0 0 : slabdata    0    0    0
ext3_xattr          0    0    88 46 1 : tunables 0 0 0 : slabdata    0    0    0
dquot                0    0 256 16 1 : tunables 0 0 0 : slabdata    0    0    0
dio                   0    0 640 25 4 : tunables 0 0 0 : slabdata    0    0    0
pid_namespace       0    0 2128 15 8 : tunables 0 0 0 : slabdata    0    0    0
user_namespace       0    0 1072 30 8 : tunables 0 0 0 : slabdata    0    0    0
UNIX                483 483 768 21 4 : tunables 0 0 0 : slabdata    23    23    0
UDP-Lite             0    0 832 19 4 : tunables 0 0 0 : slabdata    0    0    0
ip_fib_trie       146 146    56 73 1 : tunables 0 0 0 : slabdata    2    2    0
arp_cache          36    36 448 18 2 : tunables 0 0 0 : slabdata    2    2    0
RAW                19    19 832 19 4 : tunables 0 0 0 : slabdata    1    1    0
UDP                38    38 832 19 4 : tunables 0 0 0 : slabdata    2    2    0
tw_sock_TCP          32    32 256 16 1 : tunables 0 0 0 : slabdata    2    2    0
TCP                196 228 1664 19 8 : tunables 0 0 0 : slabdata    12    12    0
blkdev_queue       51    51 1880 17 8 : tunables 0 0 0 : slabdata    3    3    0
blkdev_requests    110 176 368 22 2 : tunables 0 0 0 : slabdata    8    8    0
fsnotify_event    408 408 120 34 1 : tunables 0 0 0 : slabdata    12    12    0
bip-256             7    7 4224 7 8 : tunables 0 0 0 : slabdata    1    1    0
bip-128             0    0 2176 15 8 : tunables 0 0 0 : slabdata    0    0    0
bip-64                0    0 1152 28 8 : tunables 0 0 0 : slabdata    0    0    0
bip-16                0    0 384 21 2 : tunables 0 0 0 : slabdata    0    0    0
sock_inode_cache    925 925 640 25 4 : tunables 0 0 0 : slabdata    37    37    0
net_namespace       0    0 2560 12 8 : tunables 0 0 0 : slabdata    0    0    0
shmem_inode_cache 1688 2064 664 24 4 : tunables 0 0 0 : slabdata    86    86    0
Acpi-ParseExt    3248 3248    72 56 1 : tunables 0 0 0 : slabdata    58    58    0
Acpi-State          102 102    80 51 1 : tunables 0 0 0 : slabdata    2    2    0
Acpi-Namespace    1836 1836    40  102 1 : tunables 0 0 0 : slabdata    18    18    0
task_delay_info    432 432 112 36 1 : tunables 0 0 0 : slabdata    12    12    0
taskstats          48    48 328 24 2 : tunables 0 0 0 : slabdata    2    2    0
proc_inode_cache 1274 1274 624 26 4 : tunables 0 0 0 : slabdata    49    49    0
sigqueue             75    75 160 25 1 : tunables 0 0 0 : slabdata    3    3    0
bdev_cache          38    38 832 19 4 : tunables 0 0 0 : slabdata    2    2    0
sysfs_dir_cache 17556  17556 144 28 1 : tunables 0 0 0 : slabdata 627 627    0
inode_cache       8439 8439 560 29 4 : tunables 0 0 0 : slabdata 291 291    0
dentry          27717  27909 192 21 1 : tunables 0 0 0 : slabdata 1329 1329    0
iint_cache          0    0 112 36 1 : tunables 0 0 0 : slabdata    0    0    0
buffer_head    268242 268242 104 39 1 : tunables 0 0 0 : slabdata 6878 6878    0
vm_area_struct    18377  18377 176 23 1 : tunables 0 0 0 : slabdata 799 799    0
mm_struct          144 144 896 18 4 : tunables 0 0 0 : slabdata    8    8    0
files_cache       184 184 704 23 4 : tunables 0 0 0 : slabdata    8    8    0
signal_cache       240 240 1088 30 8 : tunables 0 0 0 : slabdata    8    8    0
sighand_cache       195 195 2112 15 8 : tunables 0 0 0 : slabdata    13    13    0
task_struct       372 380 5888 5 8 : tunables 0 0 0 : slabdata    76    76    0
anon_vma          6366 6832    72 56 1 : tunables 0 0 0 : slabdata 122 122    0
shared_policy_node  11985  11985    48 85 1 : tunables 0 0 0 : slabdata 141 141    0
numa_policy       340 340    24  170 1 : tunables 0 0 0 : slabdata    2    2    0
radix_tree_node 13188  13188 568 28 4 : tunables 0 0 0 : slabdata 471 471    0
idr_layer_cache    840 840 544 30 4 : tunables 0 0 0 : slabdata    28    28    0
dma-kmalloc-8192    0    0 8192 4 8 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-4096    0    0 4096 8 8 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-2048    0    0 2048 16 8 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-1024    0    0 1024 16 4 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-512    16    16 512 16 2 : tunables 0 0 0 : slabdata    1    1    0
dma-kmalloc-256       0    0 256 16 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-128       0    0 128 32 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-64       0    0    64 64 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-32       0    0    32  128 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-16       0    0    16  256 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-8       0    0    8  512 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-192       0    0 192 21 1 : tunables 0 0 0 : slabdata    0    0    0
dma-kmalloc-96       0    0    96 42 1 : tunables 0 0 0 : slabdata    0    0    0
kmalloc-8192       28    28 8192 4 8 : tunables 0 0 0 : slabdata    7    7    0
kmalloc-4096       661 688 4096 8 8 : tunables 0 0 0 : slabdata    86    86    0
kmalloc-2048       816 816 2048 16 8 : tunables 0 0 0 : slabdata    51    51    0
kmalloc-1024       1332 1536 1024 16 4 : tunables 0 0 0 : slabdata    96    96    0
kmalloc-512       1150 1264 512 16 2 : tunables 0 0 0 : slabdata    79    79    0
kmalloc-256       8848  10224 256 16 1 : tunables 0 0 0 : slabdata 639 639    0
kmalloc-128       1270 1472 128 32 1 : tunables 0 0 0 : slabdata    46    46    0
kmalloc-64       8587 8832    64 64 1 : tunables 0 0 0 : slabdata 138 138    0
kmalloc-32       2048 2048    32  128 1 : tunables 0 0 0 : slabdata    16    16    0
kmalloc-16       4352 4352    16  256 1 : tunables 0 0 0 : slabdata    17    17    0
kmalloc-8       14848  14848    8  512 1 : tunables 0 0 0 : slabdata    29    29    0
kmalloc-192       3361 3738 192 21 1 : tunables 0 0 0 : slabdata 178 178    0
kmalloc-96       1134 1134    96 42 1 : tunables 0 0 0 : slabdata    27    27    0
kmem_cache          32    32 256 16 1 : tunables 0 0 0 : slabdata    2    2    0
kmem_cache_node    192 192    64 64 1 : tunables 0 0 0 : slabdata    3    3    0
shell@ubuntu:~$
shell@ubuntu:~$

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

woxizishen

版主

论坛徽章:: 24

28楼 [报告]

发表于 2014-12-06 08:35 |只看该作者

回复 25# mengcun123

红色那些设定不会影响你什么的，我也是这样用的，另外你的iptables透明代理那段脚本我确实看的有点头晕，你的前辈不知道从哪里抄袭来的。

直接vi /etc/sysconfig/iptables 把下面你的那几行全删除了
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 10.87.0.0/16 -d 0.0.0.0/0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth0 -j MASQUERADE （你的外网是固定ip的话，这一行完全是废行）
/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to 3128

用我这一行替换你上面5行。
-A PREROUTING -s 172.16.x.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j REDIRECT --to-ports 3128

172.16.x.0/255.255.255.0 你客户端的网段地址。

然后使用iptables-save命令，然后再运行service iptables restart。

你前面抓取的用户数据只有你公网和你自己，那是因为你的透明代理，没人在使用吧。你这样防火墙也丢包，那真是奇迹了。我把我的透明代理设定除了你那5行，全部用你的那个替换了，没有任何问题。

你确定你的linux系统没有做别的安全方面设定，把你/etc/sysconfi/iptables 给我看下。

[root@qiqi2 ~]# cat /proc/net/ip_conntrack | cut -d '' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
48 172.16.8.63 dst
30 172.16.8.62 dst

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mengcun123

家境小康

论坛徽章:: 0

29楼 [报告]

发表于 2014-12-06 09:31 |只看该作者

回复 28# woxizishen

把你给我的稍微修改了一下变成：/sbin/iptables -A PREROUTING -s 10.0.0.0/8 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j REDIRECT --to-ports 3128

运行之后有这个提示
iptables: No chain/target/match by that name.

另外正对iptables的东西这是这个脚本里面有其他的设置并没有其他的东西
look：

[root@2014cq sysconfig]# cat iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

woxizishen

版主

论坛徽章:: 24

30楼 [报告]

发表于 2014-12-06 11:46 |只看该作者

本帖最后由 woxizishen 于 2014-12-06 11:47 编辑

回复 29# mengcun123

你老不按我的操作来。你先测试这个
1.把你/etc/sysconfig/iptables里的内容全部手动删除掉（清空前请先把你原来的备份下）

2.然后复制下面内容到/etc/sysconfig/iptables里
*nat

REROUTING ACCEPT [279:19490]

OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [40:7596]
-A PREROUTING -s 172.16.x.0/255.255.255.0 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j REDIRECT --to-ports 3128
COMMIT

(备注:那笑脸是: 加 p)

3.保存
iptables-save
service iptables restart

这样先让你的透明代理运行起来，然后你去下面客户端电脑设定网关都到你这个代理服务器ip上。让他们先上网，如果出现上网上不了情况了，

你用前面我告诉你的命令抓取用户访问情况
cat /proc/net/nf_conntrack | cut -d '' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
22 127.0.0.1 dst
15 172.16.8.119 dst
15 169.254.208.180 dst
9 172.16.8.62 dst

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

1 234 / 4 页下一页

返回列表

Chinaunix › 论坛 › IT运维 › 服务器应用 › squid代理服务器的一些疑问