URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79637
[ Назад ]

Исходное сообщение
"Не могу через squid зайти на poisk.vid.ru"

Отправлено BarS , 04-Апр-08 08:32 
При этом через нат соединение работает замечательно, локально показывает что (через нат) 3 соединения, два на порт 8080 (на poisk.vid.ru) и третье на другой IP:80, никто не сталкивался?

Содержание

Сообщения в этом обсуждении
"Не могу через squid зайти на poisk.vid.ru"
Отправлено Hetzer , 04-Апр-08 08:42 
>При этом через нат соединение работает замечательно, локально показывает что (через нат)
>3 соединения, два на порт 8080 (на poisk.vid.ru) и третье на
>другой IP:80, никто не сталкивался?

ну а что в логах сквида?


"Не могу через squid зайти на poisk.vid.ru"
Отправлено BarS , 04-Апр-08 09:00 
>>При этом через нат соединение работает замечательно, локально показывает что (через нат)
>>3 соединения, два на порт 8080 (на poisk.vid.ru) и третье на
>>другой IP:80, никто не сталкивался?
>
>ну а что в логах сквида?

207284961.289  51149 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/flash_flv_player/ufo.js? - DIRECT/194.67.52.114 -
и тишина


"Не могу через squid зайти на poisk.vid.ru"
Отправлено BarS , 04-Апр-08 09:01 
>>>При этом через нат соединение работает замечательно, локально показывает что (через нат)
>>>3 соединения, два на порт 8080 (на poisk.vid.ru) и третье на
>>>другой IP:80, никто не сталкивался?
>>
>>ну а что в логах сквида?
>
>207284961.289  51149 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/flash_flv_player/ufo.js? - DIRECT/194.67.52.114 -
>и тишина

Через некоторое время IE показывает:
<script language


"Не могу через squid зайти на poisk.vid.ru"
Отправлено BarS , 04-Апр-08 09:03 
>>>При этом через нат соединение работает замечательно, локально показывает что (через нат)
>>>3 соединения, два на порт 8080 (на poisk.vid.ru) и третье на
>>>другой IP:80, никто не сталкивался?
>>
>>ну а что в логах сквида?
>
>207284961.289  51149 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/flash_flv_player/ufo.js? - DIRECT/194.67.52.114 -
>и тишина

или вот:
207285295.269  50662 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/css/style.css? - DIRECT/194.67.52.114 -
но сайт не открывается, через нат открывается сразу и без проблем.


"Не могу через squid зайти на poisk.vid.ru"
Отправлено Hetzer , 04-Апр-08 10:44 
>[оверквотинг удален]
>>>>другой IP:80, никто не сталкивался?
>>>
>>>ну а что в логах сквида?
>>
>>207284961.289  51149 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/flash_flv_player/ufo.js? - DIRECT/194.67.52.114 -
>>и тишина
>
>или вот:
>207285295.269  50662 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/css/style.css? - DIRECT/194.67.52.114 -
>но сайт не открывается, через нат открывается сразу и без проблем.

TCP_MISS/304 означает, что объекта нет в кэше сквида, но есть в кэше броузера и объект не отличается от объекта на оригинальном сервере.

Как мы знаем, iexplorer погано работает с собственным кэшем, кнопку reload давили? :)


"Не могу через squid зайти на poisk.vid.ru"
Отправлено Andrey Mitrofanov , 04-Апр-08 10:49 
>>207285295.269  50662 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/css/style.css? - DIRECT/194.67.52.114 -
>>но сайт не открывается, через нат открывается сразу и без проблем.
>
>TCP_MISS/304 означает, что объекта нет в кэше сквида, но есть в кэше
>броузера и объект не отличается от объекта на оригинальном сервере.

Нет! "_MISS" + "DIRECT/" означает, что запрос клиента не наёден сквидом в своём кеше и запрашивается напрямую с сервера.
>Как мы знаем, iexplorer погано работает с собственным кэшем, кнопку reload давили?
>:)

ИЕ тут совершенно не при чём -- это _не_ его лог.

PS: delay_pools? на 1b/s?...


"Не могу через squid зайти на poisk.vid.ru"
Отправлено BarS , 04-Апр-08 10:57 
Сейчас глянул tcpdump как через нат идет соединение:
сначала туда сюда:
192.168.4.22.1100 > 194.67.52.114.80
194.67.52.114.80 > 192.168.4.22.1100
потом вдруг:
192.168.4.22.1100 > 194.67.52.114.80
194.67.52.114.8080 > 192.168.4.22.1094
194.67.52.114.8080 > 192.168.4.22.1094
194.67.52.114.8080 > 192.168.4.22.1094
194.67.52.114.8080 > 192.168.4.22.1094
192.168.4.22.1094 > 194.67.52.114.8080
может это место через сквид не пролазит?
уже и порт 8080 в сквиде разрешил - не помогает.

"Не могу через squid зайти на poisk.vid.ru"
Отправлено Ork paladin , 04-Апр-08 11:33 
Кстати, настройки фаервола не смотрели, может там блокируется?
У меня был подобный казус, когда вносил диапазоны сетей спамеров, через нат работало, а сквидом не открывалось, т.к. срабатывали блокирующие правила.



"Не могу через squid зайти на poisk.vid.ru"
Отправлено Hetzer , 04-Апр-08 11:28 
>>>207285295.269  50662 192.168.4.22 TCP_MISS/304 287 GET http://www.poisk.vid.ru/css/style.css? - DIRECT/194.67.52.114 -
>>>но сайт не открывается, через нат открывается сразу и без проблем.
>>
>>TCP_MISS/304 означает, что объекта нет в кэше сквида, но есть в кэше
>>броузера и объект не отличается от объекта на оригинальном сервере.
>
>Нет! "_MISS" + "DIRECT/" означает, что запрос клиента не наёден сквидом в
>своём кеше и запрашивается напрямую с сервера.

TCP_MISS/304 means is that it isn't in the Squid cache, but it is in your browser's cache. Your browser will submit a If-Modified-Since request to Squid, which will forward it on to the origin server. If the object hasn't been modified, it'll get a 304, which Squid will pass on to your browser. However, Squid doesn't have a copy itself, therefore TCP_MISS.

я неверно перевёл? :)

>>Как мы знаем, iexplorer погано работает с собственным кэшем, кнопку reload давили?
>>:)
>
>ИЕ тут совершенно не при чём -- это _не_ его лог.
>

автор топика говорил про ie :)

>PS: delay_pools? на 1b/s?...


"был неправ, вспылил и сам-не-rtfm Ж-("
Отправлено Andrey Mitrofanov , 04-Апр-08 11:33 
>[оверквотинг удален]
>>своём кеше и запрашивается напрямую с сервера.
>
>TCP_MISS/304 means is that it isn't in the Squid cache, but it
>is in your browser's cache. Your browser will submit a If-Modified-Since
>request to Squid, which will forward it on to the origin
>server. If the object hasn't been modified, it'll get a 304,
>which Squid will pass on to your browser. However, Squid doesn't
>have a copy itself, therefore TCP_MISS.
>
>я неверно перевёл? :)

$SUBJ, сорри


"Не могу через squid зайти на poisk.vid.ru"
Отправлено BarS , 04-Апр-08 11:33 
>>PS: delay_pools? на 1b/s?...

Стоит в
#Default:
#delay_pools 0
Кнопку релоад хоть дави хоть не дави - бесполезно, opera и файрфокс тож через проксю открыть не могут.


"чего ещё может быть?"
Отправлено Andrey Mitrofanov , 04-Апр-08 12:02 
>При этом через нат соединение работает замечательно, локально показывает что (через нат)
>3 соединения, два на порт 8080 (на poisk.vid.ru) и третье на
>другой IP:80, никто не сталкивался?

Хм... "Хороший" сайт, небольшой. Корневая страница за ~3 секунды ч/з сквид -- 113 запросов, 689974 байт, (второе обращение 2.6с, 113 з. и 128860 б. - кеш, однако).

Конфиг показывай.
DNS работает на прокси - для сквида?
С прозрачным прокси не "играл"? Другие "глюки" ip-стека/файервола?...
Памяти сквиду хватает?

--- 2all: чего ещё нужно/можно смотреть?.. ---


"чего ещё может быть?"
Отправлено BarS , 04-Апр-08 12:20 
>Конфиг показывай.
>DNS работает на прокси - для сквида?
>С прозрачным прокси не "играл"? Другие "глюки" ip-стека/файервола?...
>Памяти сквиду хватает?
>
>--- 2all: чего ещё нужно/можно смотреть?.. ---

Config почти по умолчанию (suSE 10.2, squid 2.6 STABLE6), добавлено только с каких IP пускать, на каком интерфейсе слушать. Если надо выложу полностью.
Все работает нормально, проблема только с этим сайтом.


"чего ещё может быть?"
Отправлено Hetzer , 04-Апр-08 12:28 
>[оверквотинг удален]
>>DNS работает на прокси - для сквида?
>>С прозрачным прокси не "играл"? Другие "глюки" ip-стека/файервола?...
>>Памяти сквиду хватает?
>>
>>--- 2all: чего ещё нужно/можно смотреть?.. ---
>
>Config почти по умолчанию (suSE 10.2, squid 2.6 STABLE6), добавлено только с
>каких IP пускать, на каком интерфейсе слушать. Если надо выложу полностью.
>
>Все работает нормально, проблема только с этим сайтом.

выкладывайте секцию, где описаны acl портов, методов и их разрешения/запреты



"чего ещё может быть?"
Отправлено BarS , 04-Апр-08 12:50 
2008/04/04 15:43:13| Processing: 'acl manager proto cache_object'
2008/04/04 15:43:13| parse_line: acl manager proto cache_object
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'manager'
2008/04/04 15:43:13| Processing: 'acl localhost src 127.0.0.1/255.255.255.255 192.168.31.1/255.255.255.255'
2008/04/04 15:43:13| parse_line: acl localhost src 127.0.0.1/255.255.255.255 192.168.31.1/255.255.255.255
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'localhost'
2008/04/04 15:43:13| aclParseIpData: 127.0.0.1/255.255.255.255
2008/04/04 15:43:13| aclParseIpData: 192.168.31.1/255.255.255.255
2008/04/04 15:43:13| Processing: 'acl to_localhost dst 127.0.0.0/8'
2008/04/04 15:43:13| parse_line: acl to_localhost dst 127.0.0.0/8
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'to_localhost'
2008/04/04 15:43:13| aclParseIpData: 127.0.0.0/8
2008/04/04 15:43:13| Processing: 'acl net_192_168_4_0 src 192.168.4.0/255.255.255.0'
2008/04/04 15:43:13| parse_line: acl net_192_168_4_0 src 192.168.4.0/255.255.255.0
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'net_192_168_4_0'
2008/04/04 15:43:13| aclParseIpData: 192.168.4.0/255.255.255.0
2008/04/04 15:43:13| Processing: 'acl net_192_168_0_0 src 192.168.0.0/255.255.255.0'
2008/04/04 15:43:13| parse_line: acl net_192_168_0_0 src 192.168.0.0/255.255.255.0
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'net_192_168_0_0'
2008/04/04 15:43:13| aclParseIpData: 192.168.0.0/255.255.255.0
2008/04/04 15:43:13| Processing: 'acl net_192_168_6_0 src 192.168.6.0/255.255.255.0'
2008/04/04 15:43:13| parse_line: acl net_192_168_6_0 src 192.168.6.0/255.255.255.0
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'net_192_168_6_0'
2008/04/04 15:43:13| aclParseIpData: 192.168.6.0/255.255.255.0
2008/04/04 15:43:13| Processing: 'acl SSL_ports port 443'
2008/04/04 15:43:13| parse_line: acl SSL_ports port 443
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'SSL_ports'
2008/04/04 15:43:13| Processing: 'acl SSL_ports port 4001'
2008/04/04 15:43:13| parse_line: acl SSL_ports port 4001
2008/04/04 15:43:13| aclParseAclLine: Appending to 'SSL_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 80        # http'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 80        # http
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 8080    # http poisk.vid.ru'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 8080    # http poisk.vid.ru
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 21        # ftp'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 21        # ftp
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 443        # https'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 443        # https
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 70        # gopher'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 70        # gopher
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 210        # wais'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 210        # wais
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 1025-65535    # unregistered ports'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 1025-65535    # unregistered ports
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 280        # http-mgmt'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 280        # http-mgmt
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 488        # gss-http'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 488        # gss-http
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 591        # filemaker'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 591        # filemaker
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl Safe_ports port 777        # multiling http'
2008/04/04 15:43:13| parse_line: acl Safe_ports port 777        # multiling http
2008/04/04 15:43:13| aclParseAclLine: Appending to 'Safe_ports'
2008/04/04 15:43:13| Processing: 'acl CONNECT method CONNECT'
2008/04/04 15:43:13| parse_line: acl CONNECT method CONNECT
2008/04/04 15:43:13| aclParseAclLine: Creating ACL 'CONNECT'
2008/04/04 15:43:13| Processing: 'http_access allow manager localhost'
2008/04/04 15:43:13| parse_line: http_access allow manager localhost
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'manager'
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'localhost'
2008/04/04 15:43:13| Processing: 'http_access deny manager'
2008/04/04 15:43:13| parse_line: http_access deny manager
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'manager'
2008/04/04 15:43:13| Processing: 'http_access deny !Safe_ports'
2008/04/04 15:43:13| parse_line: http_access deny !Safe_ports
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'Safe_ports'
2008/04/04 15:43:13| Processing: 'http_access deny CONNECT !SSL_ports'
2008/04/04 15:43:13| parse_line: http_access deny CONNECT !SSL_ports
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'CONNECT'
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'SSL_ports'
2008/04/04 15:43:13| Processing: 'http_access allow localhost'
2008/04/04 15:43:13| parse_line: http_access allow localhost
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'localhost'
2008/04/04 15:43:13| Processing: 'http_access allow net_192_168_4_0'
2008/04/04 15:43:13| parse_line: http_access allow net_192_168_4_0
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'net_192_168_4_0'
2008/04/04 15:43:13| Processing: 'http_access allow net_192_168_0_0'
2008/04/04 15:43:13| parse_line: http_access allow net_192_168_0_0
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'net_192_168_0_0'
2008/04/04 15:43:13| Processing: 'http_access allow net_192_168_6_0'
2008/04/04 15:43:13| parse_line: http_access allow net_192_168_6_0
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'net_192_168_6_0'
2008/04/04 15:43:13| Processing: 'http_access deny all'
2008/04/04 15:43:13| parse_line: http_access deny all
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
2008/04/04 15:43:13| Processing: 'http_reply_access allow all'
2008/04/04 15:43:13| parse_line: http_reply_access allow all
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
2008/04/04 15:43:13| Processing: 'icp_access allow all'
2008/04/04 15:43:13| parse_line: icp_access allow all
2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
2008/04/04 15:43:13| Processing: 'forwarded_for on'
2008/04/04 15:43:13| parse_line: forwarded_for on
20

"чего ещё может быть?"
Отправлено BarS , 04-Апр-08 13:08 
У кого через squid работает - киньте конфиг посмотрерть.

"чего ещё может быть?"
Отправлено Hetzer , 04-Апр-08 13:27 
>[оверквотинг удален]
>2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
>2008/04/04 15:43:13| Processing: 'http_reply_access allow all'
>2008/04/04 15:43:13| parse_line: http_reply_access allow all
>2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
>2008/04/04 15:43:13| Processing: 'icp_access allow all'
>2008/04/04 15:43:13| parse_line: icp_access allow all
>2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
>2008/04/04 15:43:13| Processing: 'forwarded_for on'
>2008/04/04 15:43:13| parse_line: forwarded_for on
>20

издеваетесь? кусок конфига надо


"чего ещё может быть?"
Отправлено BarS , 04-Апр-08 14:12 
>[оверквотинг удален]
>>2008/04/04 15:43:13| parse_line: http_reply_access allow all
>>2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
>>2008/04/04 15:43:13| Processing: 'icp_access allow all'
>>2008/04/04 15:43:13| parse_line: icp_access allow all
>>2008/04/04 15:43:13| aclParseAccessLine: looking for ACL name 'all'
>>2008/04/04 15:43:13| Processing: 'forwarded_for on'
>>2008/04/04 15:43:13| parse_line: forwarded_for on
>>20
>
>издеваетесь? кусок конфига надо

Короче поднял щас сквид по умолчанию на FreeBSD 6.3, этот сайт открывается, щас попробую разобраться что там не так в SuSE


"чего ещё может быть _в_Suse_ ?"
Отправлено Andrey Mitrofanov , 04-Апр-08 15:40 
>что там не так в SuSE

Кстати о... AppArmor, firewall, .......

PS: А добавлять 'acl Safe_ports port 8080    # http poisk.vid.ru' бессысленно: оно уже "накрыто" 'acl Safe_ports port 1025-65535    # unregistered ports'.


"чего ещё может быть _в_Suse_ ?"
Отправлено BarS , 05-Апр-08 08:45 
>PS: А добавлять 'acl Safe_ports port 8080    # http
>poisk.vid.ru' бессысленно: оно уже "накрыто" 'acl Safe_ports port 1025-65535  
> # unregistered ports'.

Да я уже понял, и в SSL порты добавлял, не помогло. Щас конфиг с фряхи закину в SUSE проверить. Но скорее всего дело в параметрах сборки.


"чего ещё может быть _в_Suse_ ?"
Отправлено BarS , 05-Апр-08 08:55 
>>PS: А добавлять 'acl Safe_ports port 8080    # http
>>poisk.vid.ru' бессысленно: оно уже "накрыто" 'acl Safe_ports port 1025-65535  
>> # unregistered ports'.
>
>Да я уже понял, и в SSL порты добавлял, не помогло. Щас
>конфиг с фряхи закину в SUSE проверить. Но скорее всего дело
>в параметрах сборки.

КОРОЧЕ РАБОЧАЯ КОНФИГУРАЙИЯ FREEBSD ВСЕ РАВНО НЕ РАБОТАЕТ В SUSE.
Дело видимо в сборке, щас попробую поставить squid не родной от SuSE и проверить.


"Не могу через squid зайти на poisk.vid.ru"
Отправлено unclebob , 04-Апр-08 15:28 
у меня тоже не открывается