Модератор: SLEDopit
-
vsafonin
- Сообщения: 36
- ОС: Debian/Fedora
Решено: squid не грузит контактик
Всем привет. Столкнулся с проблемой squid’a.
Основная задача squid’a касдирование на другие прокси. Все работает, но если проксей вообще нет = прямой доступ к инету имеется то vk.com не грузит вываливает с ошибкой:
Код: Выделить всё
При получении URL http://www.vk.com/ произошла следующая ошибка
Соединение с 2a00:bdc0:3:103:1:0:403:903 не удалось
Система вернула: (101) Network is unreachable
Удаленный узел или сеть недоступен. Повторите запрос позднееЕсли родительский прокси есть то все в норме.
Весь конфиг squid’a упрстил до нельзя (в поисках ошибки):
Код: Выделить всё
access_log /var/log/squid/access.log
# And finally deny all other access to this proxy
http_access allow all
# Squid normally listens to port 3128
http_port 3128
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/spool/squid 100 16 256Но ошибка осталась. Кэш удалял, разные версии squid компилил. Безрузльтатно. В чем может быть проблема?
Ну и пользуясь случаем второй мини вопросик:
Если squid использовать в прозрачном режиме — реально ли заставить его каскадировать на другие прокси?
Всем зараниие спасибо!
-
vsafonin
- Сообщения: 36
- ОС: Debian/Fedora
Re: Решено: squid не грузит контактик
Сообщение
vsafonin » 06.11.2012 20:02
Bluetooth писал(а): ↑
06.11.2012 19:46
Ну, здесь явно видно, что squid вообще ни при чем, что по какой-то причине соединение пытается идти через ipv6, которое у Вас не функционирует.
Тогда почему если Squid вырубаю то все нормально отрабатывает? (где то я явно торможу)
-
KiWi
- Бывший модератор
- Сообщения: 2521
- Статус: статус, статус, статус
-
Контактная информация:
Re: Решено: squid не грузит контактик
Сообщение
KiWi » 06.11.2012 20:35
vsafonin писал(а): ↑
06.11.2012 20:02
Тогда почему если Squid вырубаю то все нормально отрабатывает? (где то я явно торможу)
Браузер, если не удалось достучаться по ipv6, через некоторое время пойдёт по ipv4.
squid, похоже, так не делает.
Плюс, наверно, squid стоит на другой машине, которая считает, что ipv6 у неё есть(в отличие от той, на которой браузер).
-
vsafonin
- Сообщения: 36
- ОС: Debian/Fedora
Re: Решено: squid не грузит контактик
Сообщение
vsafonin » 06.11.2012 20:36
KiWi писал(а): ↑
06.11.2012 20:35
vsafonin писал(а): ↑
06.11.2012 20:02
Тогда почему если Squid вырубаю то все нормально отрабатывает? (где то я явно торможу)
Браузер, если не удалось достучаться по ipv6, через некоторое время пойдёт по ipv4.
squid, похоже, так не делает.Плюс, наверно, squid стоит на другой машине, которая считает, что ipv6 у неё есть(в отличие от той, на которой браузер).
Понял, то есть получается все сводится к тому чтобы squid работал с ipv6? (пошел гуглить)
-
Bizdelnick
- Модератор
- Сообщения: 20348
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Решено: squid не грузит контактик
Сообщение
Bizdelnick » 06.11.2012 22:26
vsafonin писал(а): ↑
06.11.2012 20:36
все сводится к тому чтобы squid работал с ipv6?
Всё сводится к тому, чтобы squid и не пытался работать по IPv6.
Пишите правильно:
| в консоли вку́пе (с чем-либо) в общем вообще |
в течение (часа) новичок нюанс по умолчанию |
приемлемо проблема пробовать трафик |
-
KiWi
- Бывший модератор
- Сообщения: 2521
- Статус: статус, статус, статус
- Контактная информация:
Re: Решено: squid не грузит контактик
Сообщение
KiWi » 07.11.2012 02:46
Bizdelnick писал(а): ↑
06.11.2012 22:26
vsafonin писал(а): ↑
06.11.2012 20:36
все сводится к тому чтобы squid работал с ipv6?
Всё сводится к тому, чтобы squid и не пытался работать по IPv6.
Ну, вариантов всё-таки 2:
— таки сделать рабочий ipv6(что с нашими провайдерами маловероятно);
— объяснить системе, что ipv6 у неё всё-таки нет.
This topic has been deleted. Only users with topic management privileges can see it.
@andrey1039
Можно же любые доступные лдап-атрибуты пользовать для этого дела. Я предпочитаю userPrincipalName.
@werter said in PFSENSE: Squid + ADGroups + HTTPS:
userPrincipalName
Пробовал и так, и так, все-равно не находит- пишет в браузере:
Client address: 192.168.1.2
Client name: test.buh.local
Client user: admin
Client group: default
Target group: none
URL: http://ya.ru/
Настройка:
ldapusersearch ldap://192.168.1.2:3268/DC=buh,DC=local?userPrincipalName?sub?(&(sAMAccountName=%s)(memberOf=CN=zakupki%2cCN=Users%2cDC=buh%2cDC=local))
This post is deleted!
В логе пишет:
2021-11-03 23:01:35 [1292] (squidGuard): ldap_search_ext_s failed: Operations error (params: DC=buh,DC=local, 2, (&(sAMAccountName=admin)(memberOf=CN=zakupki,CN=Users,DC=buh,DC=local)), sAMAccountName)
Т.е. еррор= значит, что он не может найти юзера в этой группе?
@andrey1039
У вас домен BUH.LOCAL наз-ся? Не firma.local хотя бы?
Жесть (
@werter это для примера. Называется он по-другому, есс-но. По самому вопросу есть какие-нибудь мысли?
В общем.
- Идем на контроллер домена, запускаем dsquery user -name linux1 , где linux1 — юзер для подключения к АД. Видим ответ: CN=linux1,CN=Users,DC=buh,DC=local
В ПФ идем в СквидГвард, в поле «LDAP Options» пишем cn=linux1,cn=Users,dc=buh,DC=local — т.е. ту строку, что выдал нам контроллер домена, в поле LDAP DN Password — пароль этого юзера. - Снова идем на контроллер, даем команду dsquery group -name internet_allow , где internet_allow — группа, которой разрешаем ходить в инет, нам выдает:
CN=internet_allow,OU=proxy,OU=Services,DC=nv,DC=local
В ПФ в СквидГварде идем в Group ACL, идем в редактирование(или добавление, если там нет ничего) и в поле Client (source) пишем:
ldapusersearch ldap://1.2.3.4:3268/DC=buh,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internet_allow%2cOU=proxy%2cOU=Services%2cDC=buh%2cDC=local))
1.2.3.4 — это адрес контроллера домена.
Добрый.
@andrey1039
Спасибо )
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще «не принимал участия» в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
@andrey1039 Можно, на хабре вроде описывал как
acl nonauth dstdomain "/etc/squid/nonauth.txt" — сообщаем сквиду о списке доступа nonauth в котором содержатся домены назначения, к которым всегда будет разрешен доступ всем. Сам файл создаем, а внутрь него вписываем домены в формате
.whatsapp.com
.whatsapp.net
Whatsapp не зря используется как пример — он очень привередлив к прокси с аутентификацией и не будет работать если его не разрешить до аутентификации.
@andrey1039 said in PFSENSE: Squid + ADGroups + HTTPS:
Нужно сделать, чтобы на определенные адреса/сайты доступ шел мимо прокси, т.е. чтобы сквид вообще «не принимал участия» в доступе на такие сайт. Интересно, можно ли это сделать через Pfsense ?
Если работает в transparent режиме, то создаёте алиас с сайтами (главное чтобы IP адреса всегда возвращались одни и те же) и добавляете его в поле «Bypass Proxy for These Destination IPs»
@flamel у меня заполнены поля в разделе «SSL Man In the Middle Filtering» — т.е. SSL-трафик тоже анализируется. Я пробовал добавлять строку acl nonauth dstdomain «/etc/squid/nonauth.txt» — ничего не изменилось, на некоторые сайты все-равно не пускает. Например, у меня в nonauth.txt есть строчка .eias.ru , но на сайт https://web.eias.ru/ не пускает, приходится добавлять его в исключения в IE и потом открывать туда доступ на шлюзе.
На «обычном» сквиде на FreeBSD такая же проблема, кстати. Там тоже приходилось доступ на такие сайты делать в обход прокси.
Добрый.
@andrey1039
у меня заполнены поля в разделе «SSL Man In the Middle Filtering»
Скрины того, как настроено покажите, пож-та.
@werter Интересно то, что сквид не то чтобы не пускает- он почему-то не может найти этот сайт.(см ниже). И почему он пишет «Невозможно определить IP-адрес по имени узла «http»», а не web.eias.ru ?
Пишет:
При получении URL https://http/* произошла следующая ошибка
Невозможно определить IP-адрес по имени узла «http»
Сервер DNS ответил:
Server Failure: The name server was unable to process this query.
Это означает, что кэш не смог распознать имя узла в URL. Проверьте адрес на корректность.
Скрин настроек прицепил.
image url)
@andrey1039
SSL Intercept Interfaces — почему нет ЛАН? У вас пф с ОДНИМ интерфейсом?
Попробуйте так
@werter да, с одним. По вашей ссылке- попробую. Но у меня есть подозрение, что я что-то неправильно настроил.
Пересмотрел еще раз настройки и кое-что поменял в соответствии с инструкцией и логикой.
У СквидГвард есть вкладка Target categories. Если я там ничего не заполняю- то браузер пишет: «Невозможно определить IP-адрес по имени узла «http»»
Если в поле Regular Expression ставлю точку(т.е. подразумевается, что это будет любой сайт) — то пускает любого- независимо от того- есть он в группе или нет.
Вопрос: что нужно заполнять на вкладке Target categories, чтобы он пускал на ВСЕ сайты всех, кто есть в нужной группе?
@werter да, с одним.
Итак, мои настройки.
- СквидГвард, вкладка Target categories, создаем категорию, ничего не заполняем кроме Redirect mode- там выбираем ext url redirect, в поле Перенаправление пишем http://5.6.7.8:82/ (что это значит- будет ниже
- На вкладке Groups ACL у нас уже заполнено поле Client (source), кроме этого в Redirect mode выбираем Нет. Здесь же щелкаем по плюсу напротив Target Rules List и везде выбираем allow
- Идем в Common ACL, щелкаем по плюсу напротив Target Rules List и везде выбираем allow. Redirect mode и Redirect info заполняем так же, как и в п.1
Кстати, то, что выбираем Target Rules List «allow» для всех- мне кажется нелогичным и вроде как после этого он вообще должен всех пускать- и кто входит в нужную группу, и кто не входит. Но это не так- я проверял.
По поводу http://5.6.7.8:82/. На pfsense(в нашем примере у него адрес 5.6.7.8) установлен nginx- это web-сервер типа апача, но проще, настройки лежат в /usr/local/etc/nginx/nginx.conf
Так что поднимаем на нем сайт на порту 82(можно и на другом), создаем страницу и пишем там текст, например, «Вам низзя в инет, пшел отседова» и со всякими картинками. Если юзеру нельзя в инет- его перекидывает на эту страницу.
Заставить сквид+сквидгвард выдавать свои сообщения об ошибке у меня не получилось. Как мне кажется, тут получается так: сквид отправляет сквидгварду «на согласование» юрл, а если тому что-то не понравилось(например, юзеру нельзя в инет)- то он вовзращает сквиду или пустой юрл, или свое сообщение. В 1-ом случае сквид пишет, что не может отобразить страницу, у которой юрл состоит только из букв https/http, а во 2-ом случае- зависит хз от чего и юзер может получить как сообщение об ошибке, так и вообще какие-то непонятные сообщения.
По поводу исключений, я сделал так:
В Custom Options (Before Auth) в самом начале вписал:
acl allow_sites url_regex -i «/usr/local/etc/squid/mimo_squid»
http_access allow allow_sites
и в файле /usr/local/etc/squid/mimo_squid прописал куски сайтов, например gov.ru
т.е. используются регулярные выражения.
@andrey1039 said in PFSENSE: Squid + ADGroups + HTTPS:
Если в поле Regular Expression ставлю точку(т.е. подразумевается, что это будет любой сайт)
Сквид пользуют перловский (?) синтаксис регулярок. Тогда все сайты будет .* (точка + звездочка). А просто тчк — это любой ОДИН символ. Можете проверить?
Маски:
. - одиночный символ
* - неограниченное повторение последнего символа
.* - соотв любая последовательность
. - точка
\ - один слеш
^ - от начала строки
$ - конец строки
() - скобки ограничивают токен
[] - скобки допустимые символы
| - знак или
http:\\.*.mail.ru.* - соответствует http:\*.mail.ru*
В общем, вылезла еще одна проблема. Некоторые сайты не хотят открываться при таких настройках, потому что в этом случае трафик сначала расшифровывается, а потом шифруется сертификатом сквида. В итоге получается такая вот ошибка(см ниже):
Что бы такое дописать, чтобы эти сайты просто пропускались- без шифрования/расшифрования?
При получении URL https://frprf.ru/* произошла следующая ошибка.
Не удалось установить безопасное соединение с 31.41.246.25
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
Для выполнения Вашего запроса этот кэш и удаленный узел не смогли согласовать взаимоприемлемые параметры безопасности. Возможно, удаленный узел не поддерживает безопасные соединения или кэш не удовлетворён удостоверением безопасности узла.
@andrey1039
Добавьте в исключения. В чем проблема?
@werter вы имеете в виду- в исключения в браузере? Это очень неудобно- надо каждый сайт прописывать в политиках, потом ждать, пока применятся, плюс на роутере делать прямой доступ к этому сайту. Вот если бы в самом сквиде где-то можно было прописывать..
@andrey1039
Вот если бы в самом сквиде где-то можно было прописывать..
Я про сквид, ес-но. В гугле это — squid + exceptions + pfsense
https://docs.netgate.com/pfsense/en/latest/recipes/http-client-proxy.html#squid-caching-web-proxy
Bypass Proxy for these Destination IPs
If certain remote servers need to bypass the proxy, put them in this box. Multiple addresses, networks, or alias names may be entered separated by a semicolon.
@werter а разве эти настройки не исключительно для прозрачного режима? Это поле становится активным, если включить прозрачный режим, а мне он не нужен.
@andrey1039
Гляньте https://youtu.be/ZqZm-BgWcNc?t=50 — Whitelist
Пардон, это не про то, что вам надо.
Можно попробовать создать файл с перечнем доменов, к-ые нужно пускать напрямую минуя сквид и в Advanced сквида добавить строку acl со ссылкой на этой файл.
Примеры есть тут https://habr.com/ru/post/347212/
Пример regexp https://itslashfix.wordpress.com/2015/07/14/allowing-cific-services-from-google-through-a-proxy-in-blanket-block-mode/
Возможно, в fw на ЛАН надо будет добавить правило для доступа к этим сайтам (эти сайты мы посещаем минуя сквид), создав для удобства сперва алиас из них.
@werter почитал, исключения у меня так и настроены, правда там написаны «целые» домены, а у меня через рег. выражения- «куски».
Но, похоже, я неправильно понял проблему.
SSL Certficate error: certificate issuer (CA) not known: /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018 — означает, что сквиду не нравится сертификат сайта(или, скорее всего, сертификат СА).
Добавил после строки «auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /etc/squid.keytab -t none»
строку «sslproxy_cert_error allow all» и на всякий случай еще «tls_outgoing_options flags=DONT_VERIFY_PEER»- проблема ушла.
Конечно, правильно было бы скормить сертификаты сквиду, но: 1. не знаю, как это сделать 2. не вижу смысла этого делать
Хочу, чтобы лайтсквид писал в статистике не IP-адреса компов, а их имена. Выбираю в поле «IP Resolve Method» SMB- все-равно пишет IP. ДНС-ов у меня 2 штуки- один- мой, второй- яндекса. Выбираю DNS- вместо имен компов пишется что-то типа DOSA-HTH-FRNT.HEALTH.CMU.EDU — т.е. для резолва он использует не мой днс, а яндекса, при том, что в настройках мой IP стоит первым. Что можно сделать, чтобы он нормально резолвил?
@andrey1039
В General галка касаемо DNS на Allow override DNS by … стоит?
@werter галку поставил — ничего не изменилось. Там ниже еще есть поле «DNS Resolution Behavior», у меня там стоит «Use local DNS, fall back to remote DNS…»
@andrey1039
Не надо ее ставить. Снимите. Под ней комментарий написан, переведите его для себя.
Была проблема, что некоторые сайты не отображаются, выдается ошибка, что не может определить адрес сайта. Методом тыка было определено, что виноват в этом Proxy filter SquidGuard — как я понял, эти сайты не умеют работать через прокси с авторизацией.
В общем: идем в нем в Target Categories, там уже у нас должна быть хотя бы одна строчка, идем в ее редактирование. Дальше- варианты.
- В поле Domain List пишем домены целиком через пробел, например- government.ru gosuslugi.ru
- Можно что-то написать в поле URL List, но я этот вариант не пробовал
- В поле Regular Expression пишем через палку куски названий сайтов, например: gosuslugi|sbis.ru
После этого Proxy filter SquidGuard пропускает нормально на эти сайты.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Casper
- рядовой
- Сообщения: 21
- Зарегистрирован: 2010-04-01 18:19:33
SQUID, не работает https!
Доброго времени суток!
Не открываются https ссылки. При попытке открыть https://… IE просто пишет невозможно отобразить страницу, а опера выдает следующее:
ERROR
The requested URL could not be retrieved
При получении URL https://online.rsb.ru/* произошла следующая ошибка
Соединение с [unknown] не удалось
Система вернула: (22) Invalid argument
Удаленный узел или сеть недоступен. Повторите запрос позднее
Администратор Вашего кэша: webmaster.
Код: Выделить всё
#pkg_info | grep squid
squid-3.1.6 HTTP Caching Proxy
# uname -srp
FreeBSD 8.0-RELEASE amd64Код: Выделить всё
#cat /usr/local/etc/squid/squid.conf
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 20 minute
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443 563 1025 5190 9091 631
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl inet_users external nt_group inet_users
http_access allow inet_users
http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_mem 256 MB
maximum_object_size_in_memory 80 KB
cache_dir ufs /var/squid/cache 1024 16 256
minimum_object_size 10 KB
maximum_object_size 32 MB
cache_swap_low 90
cache_swap_high 95
coredump_dir /var/squid/cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320
error_directory /usr/local/etc/squid/errors/ru
visible_hostname PROXYТакое ощущение что вообще не работает CONNECT. Аська тоже не подключается. Вот что пишет в логах сквида:
Код: Выделить всё
1281431641.156 0 192.168.0.70 TCP_DENIED/407 3964 CONNECT online.rsb.ru:443 - NONE/- text/html
1281431641.280 0 192.168.0.70 TCP_MISS/503 0 CONNECT online.rsb.ru:443 mainadmin DIRECT/- -
В чем может быть дело?
-
Хостинг HostFood.ru
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
ADRE
- майор
- Сообщения: 2641
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: SQUID, не работает https!
Непрочитанное сообщение
ADRE » 2010-08-10 15:59:01
может собрано как-то хитро было, по дефолту собирал?
//del
-
mc-sim
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2012-02-19 20:42:41
- Контактная информация:
Re: SQUID, не работает https!
Непрочитанное сообщение
mc-sim » 2012-02-19 20:45:23
Casper писал(а):
В чем может быть дело?
Мне помогла вот такая строка:
Код: Выделить всё
gw ~ # grep ^tcp_out /etc/squid3/squid.conf
tcp_outgoing_address 0.0.0.0 all-
Роман
- проходил мимо
- Сообщения: 1
- Зарегистрирован: 2012-09-05 10:02:09
Re: SQUID, не работает https!
Непрочитанное сообщение
Роман » 2012-09-05 10:20:22
mc-sim писал(а):
Casper писал(а):
В чем может быть дело?Мне помогла вот такая строка:
Код: Выделить всё
gw ~ # grep ^tcp_out /etc/squid3/squid.conf tcp_outgoing_address 0.0.0.0 all
Спасибо, дружище! Мне тоже помогла эта строчка! Ошибка возникала только на сайте vk.com. Прописал:
и все заработало. Версия Squid 3.1.20
Любопытно, что проверял в другом месте со Squid 2.7.9 и такой ошибки не было, хотя для tcp_outgoing_address там все по-умолчанию. Вот такая особенность 3.1.x похоже))
В конфигурационном файле Dansguardian /etc/dansguardian/dansguardian.conf нашел и привел к следующему виду опцию:
forwardedfor = on
В файле конфигурации Squid /etc/squid3/squid.conf и после секции с элементами ACL нашел и раскомментировал:
follow_x_forwarded_for allow localhost
После чего, вместо того, чтобы Dansguardian начал добавлять к запросам заголовки X-Forwarded-For, а Squid их обрабатывать, …Интернет на всех машинах пропал…
Вот, собственно, пока и всё…
Да, вместо Ubuntu — Debian. Система находится в работе, поэтому опробовать могу только рано утром (опробовать на всяких там «виртуалках» не могу — нет технической возможности — нищие бюджетники).
Так не бывает, напрямую эти опции за доступ не отвечают.
Для начала:
squid3 -k check
Затем уберите все правила squid, возможно он начинает обрабатывать реальные адреса из заголовков, после чего применяет к ним запрещающие правила.
Так не бывает.
Я тоже так думал. В данный момент раскомментирована только строчка в dansguardian.conf. Интернет есть.
Правил в squid.conf с момента установки системы никаких (я!!!) не вносил. Завтра с утречка раскомментирую «заветную» строчку в squid.conf и дам команду squid3 -k check
Хочется, чтобы всё работало.
Раскомментировал строку follow_x_forwarded_for allow localhost (как и обещал).
Получил:
ОШИБКА
Запрошенный URL не может быть получен
При получении URL http://yandex.ru/ произошла следующая ошибка
Доступ запрещен.
Да, squid3 -k chek проблем не выдал…
Debian стоит уже третий год, DG «прицепил» чуть позже. Появилась мысль (может дурная?), на всякий случай, для чистоты эксперимента(!), переустановить squid3 (чтобы squid.conf был чистым на 10000% — ну, не помню я, чтобы вносил туда какие-то изменения 
Может уже и с памятью чего…). Если эта «мысль» имеет право на существование, подскажите пожалуйста, как лучше сделать, чтобы «не уронить» работающую систему.
Да, система регулярно (вручную) обновляется через update, upgrade
Получается, что если запрос приходит от localhost, то squid его пропускает, а запросы из локальной сети блокирует. Явно проблема где-то в списках доступа.
Получается, что если запрос приходит от localhost, то squid его пропускает, а запросы из локальной сети блокирует. Явно проблема где-то в списках доступа.
Завтра утром буду искать… Сохраню squid.conf (тот, что есть и работатет) на всякий случай, и буду экспериментировать целый час… А там … Ну, не будем о грустном
Уберите все, кроме:
http_access allow localnet
http_access allow localhost
http_access deny all
После чего убедитесь, что acl localnet задан и описывает именно вашу сеть.
Вчера «откопал» в своих же «запасах» (фиг знает, зачем делал?) squid.conf, почти после установки системы (по времени). Сегодня рано утром, сохранив действующий, установил «найдёныша», раскомментировал в нём строку follow_x_forvarded_for allow localhost
Перезапустил систему. Пока полёт нормальный! И Интернет не пропал, и логи squid пишет как положено.
В понедельник буду «экспериментировать» (если всё будет нормально, само собой): начну со времени работы какой-нибудь отдельно взятой машины (это вроде по-проще).
Спасибо за советы!
Новую тему создавать не буду, попытаюсь продолжить здесь, хотя это уже, скорее всего, не проблемы программ, а нехватка знаний и обыкновенные русские народные непонятки. Опробовал ограничение работы по времени — всё отлично срабатывает! Спасибо! А вот ограничение по скорости… Хотел на пробном аппарате уменьшить скорость. Скорость на входе от провайдера — 10. Вот чего «наваял»:
acl localnet src 192.168.2.0/24
acl setevoy src 192.168.2.83
acl work_ful time SMTWHFA 07:30-17:30
http_access allow work_ful setevoy
http_access deny setevoy
delay_pools 1
delay_class 1 1
delay_access 1 allow setevoy
delay_access 1 deny all
delay_parameters 1 -1/-1 128000/128000 16000/16000
Сайт 2ip.ru показывает, что скорость не меняется. Чего-то не так…
Будет время — подскажите слабоумному…
Замочек в адресной строке на 2ip видели? Собственно это ответ на ваш вопрос, Squid не проксирует HTTPS-соединения.
Точно! Про https забыл… А как тогда (по-проще!) проверить скорость?
Точно! Про https забыл… А как тогда (по-проще!) проверить скорость?
Вроде бы разобрался сам. Извините за беспокойство.
чесно говоря сколько не прикручивал этот данс нормального результата без долгих настроек не получилось, всегда что то да нужное заблочит, там где нужно закрыть порно и т.п полностью использую яндексовский днс
и все дела
Ну так Данс для того и нужен, чтобы закрыть все, что может представлять определенную опасность с точки зрения проверяющих, лучше пусть он заблочит что-то нужное, чем пропустит ненужное. А с учетом новых инициатив депутатов и Роскомнадзора проще вообще оставить только белый список.
Ну так Данс для того и нужен, чтобы закрыть все, что может представлять определенную опасность с точки зрения проверяющих, лучше пусть он заблочит что-то нужное, чем пропустит ненужное. А с учетом новых инициатив депутатов и Роскомнадзора проще вообще оставить только белый список.
Если бы не увеличивающееся число ресурсов https, то особой разницы между делать «белый» список, по потребностям пользователей, и разблокировать DG, при возникшей необходимости, особо не вижу.
А вот с https (особо противными 
)пока только через nat.
Широкое внедрение HTTPS вообще делает задачу контентной фильтрации бессмысленной, разве что только ломать HTTPS, но это еще хуже, так как создает риски реально пропустить MITM-атаку.
Поэтому сегодня надо смотреть на иные способы. Например, DNS-фильтрацию, начиная от безопасных DNS Яндекса и заканчивая SafeDNS, последний вполне серьезный продукт, но платный (с другой стороны поддерживать актуальную базу фильтрации работа не из простых).
- Записки IT специалиста — Форум
-
►
Серверные операционные системы -
►
Ubuntu Server/Debian -
►
Squid+Dansguardian: проблемы совместной работы
|
# |
|
|
Темы: 20 Сообщения: 79 Участник с: 12 октября 2009 |
Squid иногда начал ругаться :
При получении URL http://www.avito.ru/ произошла следующая ошибка
Соединение с 80.76.156.73 не удалось
Система вернула: (111) Connection refused
Удаленный узел или сеть недоступен. Повторите запрос позднее
Администратор Вашего кэша: [email protected].
Думал что проблемы в конфиге, с дефолтным тоже самое, сейчас в конфиге : #squid.conf
##Перечитать настройки без перезапуска демона: 'squid -k reconfigure' (очевидно, не самые критичные)
http_port 3128 transparent
#acl all src 0.0.0.0/0 пришлось отключить после апдейта сквида, видимо эт. уже дефолт
acl localhost src 127.0.0.1/32
acl localNet src 192.168.1.2-192.168.1.254
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl Rsync_ports port 873
acl Jabber_ports port 5222 5223
acl Safe_ports port 631
acl Safe_ports port 901
#acl black_list dstdomain .vk.com .vkontakte.ru
#acl not_black-list src 192.168.1.77 192.168.1.84 192.168.1.16
#acl Site dst www.avito.ru
acl Web_ports port 80
http_access deny !Web_ports !SSL_ports !Safe_ports !Rsync_ports !Jabber_ports
#http_access_allow Site
http_access allow localhost
http_access allow localNet
http_access deny all
#CACHE OPTIONS
cache_mem 64 MB
cache_swap_high 95
cache_swap_low 90
maximum_object_size 4896 KB
minimum_object_size 0 KB
memory_pools off #высвобождение в систему захваченной, но не нужно памяти
quick_abort_pct 97 #если скачано 97% и юзер отменил - докачать (в кэш)
negative_ttl 1 minutes #кэширование "негативных ответов", типа 404, время жизни в кэше
# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin ?
no_cache deny QUERY
#Suggested default:
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern . 0 20% 4320
# Leave coredumps in the first cache dir
coredump_dir /var/cache/squid
#LOGFILE OPTIONS
access_log /var/log/squid/access.log squid
#OTHER_FOR_ERROR_REPORTS
error_directory /usr/share/squid/errors/ru
httpd_suppress_version_string on #Подавлять вывод версии
visible_hostname proxy251
cache_mgr [email protected]
dns_nameservers 8.8.8.8 213.189.240.24 #Гугловский и от провайдера
Решил кеш пересоздать, при создание в логи пишутся варнинги типа : 2012/01/13 12:43:35| WARNING: Forwarding loop detected for: GET / HTTP/1.1 User-Agent: Wget/1.10+devel Accept: */*! Host: 213.189.250.95:3128 Via: 1.0 proxy251 (squid), 1.1 proxy251 (squid) X-Forwarded-For: 199.192.156.211, 213.189.250.95 Cache-Control: max-age=259200 Connection: keep-alive 2012/01/13 12:43:35| WARNING: Forwarding loop detected for: GET / HTTP/1.1 User-Agent: Wget/1.10+devel Accept: */*! Host: 213.189.250.95:3128 Via: 1.0 proxy251 (squid), 1.1 proxy251 (squid), 1.1 proxy251 (squid) X-Forwarded-For: 199.192.156.211, 213.189.250.95, 213.189.250.95 Cache-Control: max-age=259200 Connection: keep-alive 2012/01/13 12:43:35| WARNING: Forwarding loop detected for: GET / HTTP/1.1 User-Agent: Wget/1.10+devel Accept: */*! Host: 213.189.250.95:3128 Via: 1.0 proxy251 (squid), 1.1 proxy251 (squid), 1.1 proxy251 (squid), 1.1 proxy251 (squid) X-Forwarded-For: 199.192.156.211, 213.189.250.95, 213.189.250.95, 213.189.250.95 Cache-Control: max-age=259200 Connection: keep-alive Причем много таких варнингов, не пойму в чем дело… Каждый следующий варнинг добавляет 213.189.250.95, ++ =)) Работает все нормально, за исключение некоторых сайтов… [[email protected] ~]$ sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- it02 anywhere to:213.189.250.95
ACCEPT all -- anywhere anywhere
all -- anywhere anywhere
ifconfig : [[email protected] ~]$ ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 metric 1
inet 192.168.1.251 netmask 255.255.255.0 broadcast 192.168.255.255
inet6 fe80::16da:e9ff:feb6:392b prefixlen 64 scopeid 0x20<link>
ether 14:da:e9:b6:39:2b txqueuelen 1000 (Ethernet)
RX packets 381643 bytes 69936688 (66.6 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 400108 bytes 410876682 (391.8 MiB)
TX errors 0 dropped 0 overruns 0 carrier 1 collisions 0
device interrupt 54
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 metric 1
inet 213.189.250.95 netmask 255.255.255.0 broadcast 213.189.250.255
inet6 fe80::1e7e:e5ff:fe26:4264 prefixlen 64 scopeid 0x20<link>
ether 1c:7e:e5:26:42:64 txqueuelen 1000 (Ethernet)
RX packets 6701337 bytes 1588992909 (1.4 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 7043464 bytes 3044583540 (2.8 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
device interrupt 19 base 0xa000
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 16436 metric 1
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 0 (Local Loopback)
RX packets 46147 bytes 47509566 (45.3 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 46147 bytes 47509566 (45.3 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
resolv.conf — но в скивиде прописал отдельно DNSки # # /etc/resolv.conf # search udvcm domain ubvcm nameserver 192.168.1.2 nameserver 213.189.240.24 #search <yourdomain.tld> #nameserver <ip> # End of file Прописал ip avito.ru в dns, т.е. и в конфиг сквида и в resolf.conf всеравно не пускает сквид |
|
sleepycat |
# |
|
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011 |
со временем не рассосалась? Просто намедни ко мне поступали вопросы про недоступность этого хоста (3 яеловека в 24 часа), заподозрил глюки или работы на сервере, но вроде прошло…может не сквид?
Лозунг у них был такой: «Познание бесконечности требует бесконечного времени». С этим я не спорил, но они делали из этого неожиданный вывод: «А потому работай не работай — все едино». И в интересах неувеличения энтропии Вселенной они не работали. (с) |
|
kirillpsl |
# |
|
Темы: 20 Сообщения: 79 Участник с: 12 октября 2009 |
низнаю ваще… вот все уже перепроверил, пока только один сайт мозги парит… дальше будет видно
проблема так и осталась! Причем мной замечен только один сайт! Авита! проблема осталась… как быть не знаю как быть |