Стоит Ubuntu Server прозрачное проксирование через сквид. Такие сайты, как sadmin.pp.ua, forum.xakep.ru, www.etextlib.ru через Squid не открываются. Что не так?Большинство других сайтов открывается хорошо.
ошибка в браузере:
При получении URL http://forum.xakep.ru/ произошла следующая ошибка
Соединение с 176.9.46.47 не удалось
Система вернула: (110) Connection timed out
Удаленный узел или сеть недоступен. Повторите запрос позднееgrep forum.xakep|tail выводит следующее:
1352695211.066 179099 192.168.0.111 TCP_MISS/504 1638 GET http://forum.xakep.ru/ - DIRECT/178.248.232.55 text/htmlконфиг сквида:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
acl admin_vip src "/etc/squid/admin_vip"
acl bad_users src "/etc/squid/bad_users"
acl techno src "/etc/squid/techno"
acl users src "/etc/squid/users"
acl blacklist url_regex "/etc/squid/badsites"
acl stop_list dstdomain "/etc/squid/stop_list"
acl rashireniya urlpath_regex "/etc/squid/rashireniya"
acl badtime1 time 08:00-12:00
acl badtime2 time 13:00-17:00
acl icqport port 5190
acl torrents port 1025-65535
acl QUERY urlpath_regex cgi-bin \? /? auth
#
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl SSL_ports port 1025-65535 #torrent
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_portshttp_access allow admin_vip
http_access deny techno stop_list badtime1
http_access deny users stop_list badtime1
http_access deny bad_users stop_list badtime1
http_access deny techno stop_list badtime2
http_access deny users stop_list badtime2
http_access deny bad_users stop_list badtime2
http_access deny techno blacklist
http_access deny users blacklist
http_access deny bad_users blacklist
http_access deny techno rashireniya
http_access deny users rashireniya
http_access deny bad_users rashireniya
http_access deny techno CONNECT icqport
http_access deny users CONNECT icqport
http_access deny bad_users CONNECT icqport
http_access deny techno CONNECT torrents
http_access deny users CONNECT torrents
http_access deny bad_users CONNECT torrents
http_access allow localnet
http_access allow localhost
http_access deny allhttp_port 3128 transparent
tcp_outgoing_address 0.0.0.0
hierarchy_stoplist cgi-bin ?
cache_mem 42 MB
maximum_object_size_in_memory 16 KB
maximum_object_size 4096 KB
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUTserver_http11 on
httpd_suppress_version_string off
httpd_accel_no_pmtu_disc on
icp_port 0
udp_outgoing_address 0.0.0.0
error_directory /usr/share/squid/errors/Russian-1251
dns_nameservers 8.8.8.8 62.33.38.3 62.33.39.3
memory_pools off
uri_whitespace allow
coredump_dir /var/spool/squid
cache_dir ufs /var/spool/squid 300 16 256
#cache_peer 127.0.0.1 parent 8080 0 no-query default no-digest no-delay
#cache_peer_access 127.0.0.1 allow all
#acl Scan_HTTP proto HTTP
#never_direct allow Scan_HTTP
acl ftp proto FTP
always_direct allow ftp
no_cache deny QUERY
#never_direct allow all
tcpdump в это время выводит:tcpdump -i ppp0 host forum.xakep.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
11:21:27.108794 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.], seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0
11:21:30.106640 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S], seq 2046572842, win 5808, options [mss 1452], length 0
11:21:30.116115 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.], seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0
11:21:36.116511 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S], seq 2046572842, win 5808, options [mss 1452], length 0
в какую сторону хотя бы смотреть?
Вот ещё мой ifconfig:eth0 Link encap:Ethernet HWaddr 48:5b:39:d3:87:a0
inet addr:192.168.0.162 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::4a5b:39ff:fed3:87a0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:225436 errors:0 dropped:0 overruns:0 frame:0
TX packets:249247 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:23700482 (23.7 MB) TX bytes:188802478 (188.8 MB)
Interrupt:53 Base address:0xe000
eth1 Link encap:Ethernet HWaddr 00:50:da:ce:a3:70
inet addr:192.168.0.90 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::250:daff:fece:a370/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18299 errors:0 dropped:0 overruns:6 frame:0
TX packets:19668 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2593548 (2.5 MB) TX bytes:2187435 (2.1 MB)
Interrupt:16 Base address:0xac00
lo Link encap:Локальная петля (Loopback)
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:342 errors:0 dropped:0 overruns:0 frame:0
TX packets:342 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:107350 (107.3 KB) TX bytes:107350 (107.3 KB)
ppp0 Link encap:Протокол PPP (Point-to-Point Protocol)
inet addr:46.20.76.240 P-t-P:37.61.182.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:11010 errors:0 dropped:0 overruns:0 frame:0
TX packets:19123 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1502600 (1.5 MB) TX bytes:1732831 (1.7 MB)eth0 - смотрит в локалку, ррр0 - интернет, eth1 - сетевуха, куда вставлен интернетовский кабель.
и в eht1 иногда в позициях overruns:6 frame:0 появляются значения отличные от нуля.mtu пробовал сделать и 1500 и 1400, но сайты как не открывались так и не открываются. Единственное что в tcpdump соответственно меняется mss (.saransk-com.ru. - это днс-провайдер):
11:21:30.116115 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.], seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 011:21:36.116511 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S], seq 2046572842, win 5808, options [mss 1460], length 0
это в первом случае, а во втором - во второй строчке mss=1360. Но всё тоже самое.
Запускал проблемный сайт, mtu менял ip link ppp0.... и менялись только mss, которые во второй строке.
>[оверквотинг удален]
> так и не открываются. Единственное что в tcpdump соответственно меняется mss
> (.saransk-com.ru. - это днс-провайдер):
> 11:21:30.116115 IP 178.248.232.55.www > 78-20-46-92.saransk-com.ru.42372: Flags [S.],
> seq 1827687035, ack 2046572843, win 5840, options [mss 1460], length 0
> 11:21:36.116511 IP 78-20-46-92.saransk-com.ru.42372 > 178.248.232.55.www: Flags [S],
> seq 2046572842, win 5808, options [mss 1460], length 0
> это в первом случае, а во втором - во второй строчке mss=1360.
> Но всё тоже самое.
> Запускал проблемный сайт, mtu менял ip link ppp0.... и менялись только mss,
> которые во второй строке.Пингуем проблемный сайт, задавая размер пакета и запрещая его дефрагментацию.
1) не лезет (да и не должено при таком размере пакета)
[root@tstmfc etc]# ping -c 3 -M do -s 1500 ya.ru
PING ya.ru (93.158.134.203) 1500(1528) bytes of data.
From 78.31.79.104 icmp_seq=1 Frag needed and DF set (mtu = 1500)
From 78.31.79.104 icmp_seq=1 Frag needed and DF set (mtu = 1500)
From 78.31.79.104 icmp_seq=1 Frag needed and DF set (mtu = 1500)2) уменьшаем размер пакета - пролез
[root@tstmfc etc]# ping -c 3 -M do -s 1400 ya.ru
PING ya.ru (213.180.193.3) 1400(1428) bytes of data.
1408 bytes from www.yandex.ru (213.180.193.3): icmp_seq=1 ttl=57 time=4.29 ms
1408 bytes from www.yandex.ru (213.180.193.3): icmp_seq=2 ttl=57 time=4.12 ms
1408 bytes from www.yandex.ru (213.180.193.3): icmp_seq=3 ttl=57 time=4.43 msТаким образом ищем максимальный MTU до проблемного сайта и правим MSS.
PS
учитывайте, что к заданному размеру пакета (-s) добавится еще заголовок ICMP-протокола в 8-мь байт.
Правил очень много. Часть ограничений берется из внешних файлов. Трудно разбираться.Может поставить чистый файл настроек Squid и посмотреть, что получается на проблемных сайтах? Если проблем нет, то по очереди добавлять дополнительные acl
может кому поможет - крутился две недели с подобной темой (ubuntu 12.04)-менял кэши, количество открытых файлов и еще миллион выдумок - помогло решениеnano /etc/network/interfaces
dns-nameservers 8.8.8.8 8.8.4.4
если кому помогло отошлите на почту фразу - "От души братко"
вариант 2й) был случай года 3 назад -у одного уродского провайдера был уродский mtu = 1300.решается установкой этого значения в вышеуказанном файле. Благодарить также на почту