hola a todos.

tengo un problema, la empresa cambió el proveedor de servicio a internet hace aproximadamente un mes[conexión adsl(128k) a cablemodem(1000k)] con el fin de prestar un mejor servicio a los clientes, entonces me dije facil, lo único que debo hacer es cambiar la ip de la tarjeta, los dns, la puerta de enlace, entrar a la configuración del iptables cambiar la direccion de INET_IFACE, reiniciar los servicios y listo... funcionó por unos dias hasta que el servicio y la velocidad comenzaron a decaer, el squid comenzó a arrojar errores de timeout, de nombres de máquima no resueltos... en fin los equipos clientes no navegaron mas(exepto la web inerna, la web del cablemodem), le moví todo lo que pude a las configuraciones, ping alos dns ,puerta de enlace etc ; hasta que el servidor dijo ya no más se bloqueó, entrar desde un cliente a travez del webmin para reiniciar un servicio quedo extremadamente lento, como pude detuve todos los servicios uqe estaban corriendo y arranque solo los necesarios (network squid postfix dhcpd) , el cache volvió a funcionar .... como supuse que me habia tirado el servidor decidí reinstalarlo hace como una semana y al vez actualizarlo(fedora 2 a fedora 4) , no fue una instalación limpia, pero todo parecia estar funcionando bien hasta hoy que apenas si me esta dejando escribir estas lineas.

por que coloque que problemas con iptables, cuando tenia instalado el fedora 2 instalé para probar el firestarter, no me gustó pero no lo desinstalé, al instalar el fedora 4 este parece haberse integrado mas con iptables por que aunque el firestarter estuviera detenido las reglas del iptables no se dejaban modificar... total lo desinstale y nada... solución meterme por el setup y crear una configuracion nueva y encima de esta copiarle un backup(hace una semana) hoy esta vaina va a medias y sinceramente ya no se de donde cambiarle, ya hice el juego del iptables borrar y copiar y solo me deja ver unas paginas y de manera lenta

Yo comenzaría por eliminar cualquier rastro de IPTables temporalmente para probar (desde el servidor):

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptabled -F

Despues de lo anterior, con IPTABLES -L -n no debe quedar ninguna regla activa, independiente de cualquier firewall previamente instalado o configurado.

Con las lineas anteriormente ejecutadas, colocaría a que algún cliente saliera a Internet utilizando Squid. Si la cosa mejora, entonces, porque no, probar con NAT:

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
modprobe ipconntrack
$NIC_EXTERNA=eth1
$IP_PUBLICA=200.1.1.1
iptables -t nat -A POSTROUTING -o $NIC_EXTERNA -j SNAT --to $IP_PUBLICA

Cambiando $NIC_EXTERNA por el nombre de la tarjeta de red (eth0, eth1, eth2...) que está conectada a Internet y $IP_PUBLICA por la dirección IP Publica que se tenga asignada.

Y si nuestra IP Publica es dinámica o no sabemos cual es, pues el NAT se hace igual al anterior cambiando la última línea por la siguiente:

iptables -t nat -A POSTROUTING -o $NIC_EXTERNA -j MASQUERADE

También sería conveniente hacer un vaciado de la caché de Squid

squid -F

Tambien revisar el tema de DNS en /etc/resolv.conf.

Si el tema es lentitud, yo revisaria muy bien el tema de caché y de resolución DNS. Pruebe configurando otrso DNSs, finalmente los DNSs son servidores públicos. Pruebe con lo anterior y a ver como le va y nos cuenta.

Suerte

esta vaina no va, apenas coloco la regla de no permitir entradas por eth1, se cae el servidor

tu problema es de DNS, no de squid, checa si Iptables no bloquea las peticiones DNS, cuando una Red esta lenta, no precisamente puede ser la conexion, tambien es problema del DNS, si se resuelve lento, lento parece la conexion.
Yo tengo corriendo Squid como proxy transparente, DHCP, NAT(con firestarter) y BIND, para el proxy transparente solo tuve que agregar una linea de configuracion(debo tenerlo en otro post, no lo puedo poder ya que no estoy como root)...
suerte...

acabe de montar una pequeña configuración la cual me permitió estabilizar el servicio, no se si esta es segura o si le falta algo, ayudenme a evaluarla
# Generated by iptables-save v1.3.0 on Wed Jul 27 17:30:53 2005
*nat
:PREROUTING ACCEPT [91:10726]
:POSTROUTING ACCEPT [3320:132966]
:OUTPUT ACCEPT [3336:134097]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 200.114.xx.yy
COMMIT
# Completed on Wed Jul 27 17:30:53 2005
# Generated by iptables-save v1.3.0 on Wed Jul 27 17:30:53 2005
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j REJECT
-A INPUT -p tcp -j REJECT --reject-with icmp-port-unreachable --syn
-A INPUT -p udp -j ACCEPT --source-port 53
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Wed Jul 27 17:30:53 2005
# Generated by iptables-save v1.3.0 on Wed Jul 27 17:30:53 2005
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
COMMIT
# Completed on Wed Jul 27 17:30:53 2005

pase un test de seguridad y aunque muestra todos lo puertos sthealt dice que tiene respuesta al hacerle ping

que flojera me da leer los scripts, pero me parece bien la configuracion(al menos lo poco que lo analize). Abres NAT, redirijes squid, bien...
suerte..

me lleva el @#$$%&& estoy proobando la nevegacion desde los equipos clientes y solo me permite navegar en ciertas paginas, otras no estan cargando completas... la ma"·$%& por que esta vaina está asi?

checa en www.cualesmiip.com, si tienes dos ips, es que el proxy transparente funciona, si no algo debe estarlo bloqueando, y por cierto seria bueno implementar una Cache DNS.

Por ahi leyendo en estos días pille q el Squid necesita un espacio de disco, para cache, y si en un momento dado el disco no tiene disponible ese espacio, el squid simplemente se bloquea, pilas con eso.

nop, parece que la última configuración que tengo del iptables está fuciomamdo... el problema al final es que tambien habia problemas en el isp....
una cosa que no entiendo todavia es que mi proveedor me asigno dos ip una dinámica y otra estática, al configurar el servidor con la ip dinámica no quiso navegar, probe instalando otra conexión ethernet sobre la misma tarjeta(eth1:1) y a esta nueva conexión le di la ip fija y ahi si me djo navegar, el problema es que en el iptables no permite nombres de nic como eth1:1 que fue la nueva conexión... total configurar el equipo con la ip fija y ahi si funcionó...
lo del cache ya lo habia mirado y lo habia borrado... como decia ahora todo parece estar bien.. pero me sigue preocupando la seguridad ya que me tocó cambiar la configuración de iptables y al ser un servidor 24 x 7 pues no debo dejar muchas posibilidades para los intrusos