Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего:

1432272664.391    121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 -

Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое:

1432272926.972    215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 -

если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах...

Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128

# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local

acl SSL_ports         port 443    # ssl
acl SSL_ports         port 9091    # BKS-bank
acl SSL_ports         port 9443    # sberbank
acl Safe_ports         port 80        # http
acl Safe_ports         port 21     # ftp
acl Safe_ports         port 443     # https
acl Safe_ports         port 70     # gopher
acl Safe_ports         port 210     # wais
acl Safe_ports         port 1025-65535    # unregistered ports
acl Safe_ports         port 280     # http-mgmt
acl Safe_ports         port 488     # gss-http
acl Safe_ports         port 591     # filemaker
acl Safe_ports         port 777     # multiling http
acl CONNECT         method             CONNECT

# Списки доступа клиентов
acl IP_Full_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt"
acl IP_Restrict_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt"
acl IP_Kadr_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt"
acl IP_Razvlech_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt"
acl IP_SocSeti_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt"
acl IP_Standard_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt"
acl IP_Video_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt"

acl lan         src            192.168.0.0/24
acl lan2 src            10.0.105.0/24 192.168.2.0/24
acl auth         proxy_auth         REQUIRED
acl Blocked_Access    external memberof     Internet-Blocked
acl Restricted_Access    external memberof     Internet-Restricted
acl Standard_Access    external memberof     Internet-Standard
acl Full_Access        external memberof    Internet-Full
acl Kadr_Access        external memberof    Internet-Kadr
acl Video_Access    external memberof    Internet-Video
acl Razvlech_Access    external memberof    Internet-Razvlecheniya
acl SocSeti_Access    external memberof    Internet-SocSeti
acl Steam_Access    src            192.168.0.50
acl sber        dstdomain        .sberbank.ru

#Списки доступа к сайтам
acl Allowed_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt"
acl Priority_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt"
acl Porno_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt"
acl Video_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt"
acl Kadr_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt"
acl Razvlech_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt"
acl SocSeti_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt"
acl Steam        dstdomain         "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt"
acl SteamRegEx        urlpath_regex -i     serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers    src            "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt"
acl GlobalWU_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt"
http_access    allow    localhost manager
http_access    allow    lan manager
http_access    deny    manager
http_access    deny    !Safe_ports
http_access    deny    CONNECT !SSL_ports
http_access    allow    sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access    deny    Porno_Sites
# Allow unrestricted access to prioritysites
http_access    allow    Priority_Sites
# Allow direct access to Windows Update
http_access    allow    GlobalWU_Sites    LocalWU_Servers
# Allow direct access to steam
http_access    allow    Steam        Steam_Access
http_access    allow    SteamRegEx    Steam_Access
http_access    deny    IP_Restrict_Access    all
http_access    allow    IP_Full_Access
http_access    allow    Video_Sites        IP_Video_Access
http_access    deny    Video_Sites        lan2
http_access    allow    Razvlech_Sites        IP_Razvlech_Access
http_access    deny    Razvlech_Sites        lan2
http_access    allow    Kadr_Sites        IP_Kadr_Access
http_access    deny    Kadr_Sites        lan2
http_access    allow    SocSeti_Sites        IP_SocSeti_Access
http_access    deny    SocSeti_Sites        lan2
http_access    allow    IP_Standard_Access
http_access    deny    lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access    deny    !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access    deny    Blocked_Access        all
http_access    allow    Allowed_Sites                    lan
http_access    deny    Restricted_Access    all
http_access    deny    IP_Restrict_Access    all
http_access    allow    Full_Access                auth    lan
http_access    allow    Video_Sites        Video_Access     auth    lan
http_access    deny    Video_Sites
http_access    allow    Razvlech_Sites        Razvlech_Access    auth    lan
http_access    deny    Razvlech_Sites
http_access    allow    Kadr_Sites        Kadr_Access    auth    lan
http_access    deny    Kadr_Sites
http_access    allow    SocSeti_Sites        SocSeti_Access    auth    lan
http_access    deny    SocSeti_Sites
http_access    allow    Standard_Access                auth    lan
http_access    deny    all