URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94013
[ Назад ]

Исходное сообщение
"Не открываются некоторые сайты через Squid 2.7.stable9"

Отправлено vavulja , 12-Ноя-12 10:57 
Стоит Ubuntu Server прозрачное проксирование через сквид. Такие сайты, как sadmin.pp.ua, forum.xakep.ru, www.etextlib.ru через Squid не открываются. Что не так?

Большинство других сайтов открывается хорошо.
ошибка в браузере:
При получении URL http://forum.xakep.ru/ произошла следующая ошибка
Соединение с 176.9.46.47 не удалось
Система вернула: (110) Connection timed out
Удаленный узел или сеть недоступен. Повторите запрос позднее

grep forum.xakep|tail выводит следующее:
1352695211.066 179099 192.168.0.111 TCP_MISS/504 1638 GET http://forum.xakep.ru/ - DIRECT/178.248.232.55 text/html

конфиг сквида:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24   # RFC1918 possible internal network
acl admin_vip src "/etc/squid/admin_vip"
acl bad_users src "/etc/squid/bad_users"
acl techno src "/etc/squid/techno"
acl users src "/etc/squid/users"
acl blacklist url_regex "/etc/squid/badsites"
acl stop_list dstdomain "/etc/squid/stop_list"
acl rashireniya urlpath_regex "/etc/squid/rashireniya"
acl badtime1 time 08:00-12:00
acl badtime2 time 13:00-17:00
acl icqport port 5190
acl torrents port 1025-65535
acl QUERY urlpath_regex cgi-bin \? /? auth
#
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl SSL_ports port 1025-65535 #torrent
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow admin_vip
http_access deny techno stop_list badtime1
http_access deny users stop_list badtime1
http_access deny bad_users stop_list badtime1
http_access deny techno stop_list badtime2
http_access deny users stop_list badtime2
http_access deny bad_users stop_list badtime2
http_access deny techno blacklist
http_access deny users blacklist
http_access deny bad_users blacklist
http_access deny techno rashireniya
http_access deny users rashireniya
http_access deny bad_users rashireniya
http_access deny techno CONNECT icqport
http_access deny users CONNECT icqport
http_access deny bad_users CONNECT icqport
http_access deny techno CONNECT torrents
http_access deny users CONNECT torrents
http_access deny bad_users CONNECT torrents
http_access allow localnet
http_access allow localhost
http_access deny all

http_port 3128 transparent

tcp_outgoing_address 0.0.0.0

hierarchy_stoplist cgi-bin ?
cache_mem 42 MB
maximum_object_size_in_memory 16 KB
maximum_object_size 4096 KB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

server_http11 on

httpd_suppress_version_string off
httpd_accel_no_pmtu_disc on
icp_port 0
udp_outgoing_address 0.0.0.0
error_directory /usr/share/squid/errors/Russian-1251
dns_nameservers 8.8.8.8 62.33.38.3 62.33.39.3
memory_pools off
uri_whitespace allow
coredump_dir /var/spool/squid
cache_dir ufs /var/spool/squid 300 16 256
#cache_peer 127.0.0.1 parent 8080 0 no-query default no-digest no-delay
#cache_peer_access 127.0.0.1 allow all
#acl Scan_HTTP proto HTTP
#never_direct allow Scan_HTTP
acl ftp proto FTP
always_direct allow ftp
no_cache deny QUERY
#never_direct allow all


Содержание

Сообщения в этом обсуждении
"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено vavulja , 12-Ноя-12 12:55 
tcpdump в это время выводит:

tcpdump -i ppp0 host forum.xakep.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
11:21:27.108794 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.], seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0
11:21:30.106640 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S], seq 2046572842, win 5808, options [mss 1452], length 0
11:21:30.116115 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.], seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0
11:21:36.116511 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S], seq 2046572842, win 5808, options [mss 1452], length 0


"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено vavulja , 13-Ноя-12 13:14 
в какую сторону хотя бы смотреть?


"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено vavulja , 14-Ноя-12 13:27 
Вот ещё мой ifconfig:

eth0      Link encap:Ethernet  HWaddr 48:5b:39:d3:87:a0  
          inet addr:192.168.0.162  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::4a5b:39ff:fed3:87a0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:225436 errors:0 dropped:0 overruns:0 frame:0
          TX packets:249247 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000  
          RX bytes:23700482 (23.7 MB)  TX bytes:188802478 (188.8 MB)
          Interrupt:53 Base address:0xe000  

eth1      Link encap:Ethernet  HWaddr 00:50:da:ce:a3:70  
          inet addr:192.168.0.90  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::250:daff:fece:a370/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18299 errors:0 dropped:0 overruns:6 frame:0
          TX packets:19668 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000  
          RX bytes:2593548 (2.5 MB)  TX bytes:2187435 (2.1 MB)
          Interrupt:16 Base address:0xac00  

lo        Link encap:Локальная петля (Loopback)  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:342 errors:0 dropped:0 overruns:0 frame:0
          TX packets:342 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0  
          RX bytes:107350 (107.3 KB)  TX bytes:107350 (107.3 KB)

ppp0      Link encap:Протокол PPP (Point-to-Point Protocol)  
          inet addr:46.20.76.240  P-t-P:37.61.182.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:11010 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19123 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3  
          RX bytes:1502600 (1.5 MB)  TX bytes:1732831 (1.7 MB)

eth0 - смотрит в локалку, ррр0 - интернет, eth1 - сетевуха, куда вставлен интернетовский кабель.
и в eht1 иногда в позициях overruns:6 frame:0 появляются значения отличные от нуля.

mtu пробовал сделать и 1500 и 1400, но сайты как не открывались так и не открываются. Единственное что в tcpdump соответственно меняется mss (.saransk-com.ru. - это днс-провайдер):
11:21:30.116115 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.], seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0

11:21:36.116511 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S], seq 2046572842, win 5808, options [mss 1460], length 0
это в первом случае, а во втором - во второй строчке mss=1360. Но всё тоже самое.
Запускал проблемный сайт, mtu менял ip link ppp0.... и менялись только mss, которые во второй строке.


"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено LSTemp , 27-Ноя-12 03:51 
>[оверквотинг удален]
> так и не открываются. Единственное что в tcpdump соответственно меняется mss
> (.saransk-com.ru. - это днс-провайдер):
> 11:21:30.116115 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.],
> seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0
> 11:21:36.116511 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S],
> seq 2046572842, win 5808, options [mss 1460], length 0
> это в первом случае, а во втором - во второй строчке mss=1360.
> Но всё тоже самое.
> Запускал проблемный сайт, mtu менял ip link ppp0.... и менялись только mss,
> которые во второй строке.

Пингуем проблемный сайт, задавая размер пакета и запрещая его дефрагментацию.

1) не лезет (да и не должено при таком размере пакета)
[root@tstmfc etc]# ping -c 3 -M do -s 1500 ya.ru
PING ya.ru (93.158.134.203) 1500(1528) bytes of data.
From 78.31.79.104 icmp_seq=1 Frag needed and DF set (mtu = 1500)
From 78.31.79.104 icmp_seq=1 Frag needed and DF set (mtu = 1500)
From 78.31.79.104 icmp_seq=1 Frag needed and DF set (mtu = 1500)

2) уменьшаем размер пакета - пролез
[root@tstmfc etc]# ping -c 3 -M do -s 1400 ya.ru
PING ya.ru (213.180.193.3) 1400(1428) bytes of data.
1408 bytes from www.yandex.ru (213.180.193.3): icmp_seq=1 ttl=57 time=4.29 ms
1408 bytes from www.yandex.ru (213.180.193.3): icmp_seq=2 ttl=57 time=4.12 ms
1408 bytes from www.yandex.ru (213.180.193.3): icmp_seq=3 ttl=57 time=4.43 ms

Таким образом ищем максимальный MTU до проблемного сайта и правим MSS.

PS
учитывайте, что к заданному размеру пакета (-s) добавится еще заголовок ICMP-протокола в 8-мь байт.


"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено jr , 24-Ноя-12 05:02 
Правил очень много. Часть ограничений берется из внешних файлов. Трудно разбираться.

Может поставить чистый файл настроек Squid и посмотреть, что получается на проблемных сайтах? Если проблем нет, то по очереди добавлять дополнительные acl



"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено igor , 10-Апр-13 20:23 
может кому поможет - крутился две недели с подобной темой (ubuntu 12.04)-менял кэши, количество открытых файлов и еще миллион выдумок - помогло решение

nano /etc/network/interfaces

dns-nameservers 8.8.8.8 8.8.4.4

если кому помогло отошлите на почту фразу - "От души братко"


"Не открываются некоторые сайты через Squid 2.7.stable9"
Отправлено igor , 10-Апр-13 20:40 

вариант 2й) был случай года 3 назад -у одного уродского провайдера был уродский mtu = 1300.

решается установкой этого значения в вышеуказанном файле. Благодарить также на почту