Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего:1432272664.391 121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 -
Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое:
1432272926.972 215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 -
если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах...
Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128
# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off
# LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local
acl SSL_ports port 443 # ssl
acl SSL_ports port 9091 # BKS-bank
acl SSL_ports port 9443 # sberbank
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# Списки доступа клиентов
acl IP_Full_Access src "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt"
acl IP_Restrict_Access src "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt"
acl IP_Kadr_Access src "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt"
acl IP_Razvlech_Access src "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt"
acl IP_SocSeti_Access src "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt"
acl IP_Standard_Access src "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt"
acl IP_Video_Access src "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt"
acl lan src 192.168.0.0/24
acl lan2 src 10.0.105.0/24 192.168.2.0/24
acl auth proxy_auth REQUIRED
acl Blocked_Access external memberof Internet-Blocked
acl Restricted_Access external memberof Internet-Restricted
acl Standard_Access external memberof Internet-Standard
acl Full_Access external memberof Internet-Full
acl Kadr_Access external memberof Internet-Kadr
acl Video_Access external memberof Internet-Video
acl Razvlech_Access external memberof Internet-Razvlecheniya
acl SocSeti_Access external memberof Internet-SocSeti
acl Steam_Access src 192.168.0.50
acl sber dstdomain .sberbank.ru
#Списки доступа к сайтам
acl Allowed_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt"
acl Priority_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt"
acl Porno_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt"
acl Video_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt"
acl Kadr_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt"
acl Razvlech_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt"
acl SocSeti_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt"
acl Steam dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt"
acl SteamRegEx urlpath_regex -i serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers src "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt"
acl GlobalWU_Sites dstdomain "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt"
http_access allow localhost manager
http_access allow lan manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access deny Porno_Sites
# Allow unrestricted access to prioritysites
http_access allow Priority_Sites
# Allow direct access to Windows Update
http_access allow GlobalWU_Sites LocalWU_Servers
# Allow direct access to steam
http_access allow Steam Steam_Access
http_access allow SteamRegEx Steam_Access
http_access deny IP_Restrict_Access all
http_access allow IP_Full_Access
http_access allow Video_Sites IP_Video_Access
http_access deny Video_Sites lan2
http_access allow Razvlech_Sites IP_Razvlech_Access
http_access deny Razvlech_Sites lan2
http_access allow Kadr_Sites IP_Kadr_Access
http_access deny Kadr_Sites lan2
http_access allow SocSeti_Sites IP_SocSeti_Access
http_access deny SocSeti_Sites lan2
http_access allow IP_Standard_Access
http_access deny lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access deny Blocked_Access all
http_access allow Allowed_Sites lan
http_access deny Restricted_Access all
http_access deny IP_Restrict_Access all
http_access allow Full_Access auth lan
http_access allow Video_Sites Video_Access auth lan
http_access deny Video_Sites
http_access allow Razvlech_Sites Razvlech_Access auth lan
http_access deny Razvlech_Sites
http_access allow Kadr_Sites Kadr_Access auth lan
http_access deny Kadr_Sites
http_access allow SocSeti_Sites SocSeti_Access auth lan
http_access deny SocSeti_Sites
http_access allow Standard_Access auth lan
http_access deny all