URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5665
[ Назад ]

Исходное сообщение
"Squid не открывает некоторые страницы"

Отправлено TheObserver , 23-Июл-08 12:07 
Доброго вам времени суток!
Суть проблемы такова: есть сквид 2.6 стабл16, работает в принципе хорошо НО при попытке открыть, скажем, нечто подобное http://rus-waphost.ru:2222/ говорит что
The requested URL could not be retrieved
Connection to Failed
The system returned:
    (13) Permission denied.
Интерестно то что линксом с хоста проксы эта страница(и другие подобного рода, имею ввиду то что в урлах фигурирует порт) открывается. И еще, сегодня с виртуалки запустил кнопикс и там konqueror(который шагает в инет напрямую) открыл таки эту страницу, а при указании проксы показывает все ту же страницу как на реальной мащине. Кстати на версии 2.5 такого небыло.
Может у кого стоит данная версия сквида встречался с данной проблемой.
Заранее благодарю за помощь!

Содержание

Сообщения в этом обсуждении
"Squid не открывает некоторые страницы"
Отправлено victorsamara , 23-Июл-08 12:31 
>[оверквотинг удален]
>    (13) Permission denied.
> Интерестно то что линксом с хоста проксы эта страница(и другие подобного
>рода, имею ввиду то что в урлах фигурирует порт) открывается. И
>еще, сегодня с виртуалки запустил кнопикс и там konqueror(который шагает в
>инет напрямую) открыл таки эту страницу, а при указании проксы показывает
>все ту же страницу как на реальной мащине. Кстати на версии
>2.5 такого небыло.
> Может у кого стоит данная версия сквида встречался с данной проблемой.
>
>Заранее благодарю за помощь!

а если добавить правило
acl myport port 2222
http_access allow myport
?


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 23-Июл-08 12:57 
>[оверквотинг удален]
>>все ту же страницу как на реальной мащине. Кстати на версии
>>2.5 такого небыло.
>> Может у кого стоит данная версия сквида встречался с данной проблемой.
>>
>>Заранее благодарю за помощь!
>
>а если добавить правило
>acl myport port 2222
>http_access allow myport
>?

Пробовал - эффекта ноль. Добавлял в safe ports - то же самое. Разрешал данный урл через url_regex, включал в dstdomain - ничего. Сейчас вообще поставил allow all но картина не меняется.


"Squid не открывает некоторые страницы"
Отправлено victorsamara , 23-Июл-08 13:16 
>[оверквотинг удален]
>>>Заранее благодарю за помощь!
>>
>>а если добавить правило
>>acl myport port 2222
>>http_access allow myport
>>?
>
>Пробовал - эффекта ноль. Добавлял в safe ports - то же самое.
>Разрешал данный урл через url_regex, включал в dstdomain - ничего. Сейчас
>вообще поставил allow all но картина не меняется.

Возможно сквид не может по этому имени отпределить адрес, пропиши в ручную для сквида ДНС-серваки, параметром
dns_nameservers 1.2.3.4  5.6.7.8 (и так далее все доступные)

ещё посотреть на самом серваке такую вешь:
tcpdump -nq -i ИИТЕРНЕТ_ИНТЕРФЕЙС port 2222
и посмотри куда и откуда летят пакеты с таким портом


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 23-Июл-08 13:32 
>[оверквотинг удален]
>>Разрешал данный урл через url_regex, включал в dstdomain - ничего. Сейчас
>>вообще поставил allow all но картина не меняется.
>
>Возможно сквид не может по этому имени отпределить адрес, пропиши в ручную
>для сквида ДНС-серваки, параметром
>dns_nameservers 1.2.3.4  5.6.7.8 (и так далее все доступные)
>
>ещё посотреть на самом серваке такую вешь:
>tcpdump -nq -i ИИТЕРНЕТ_ИНТЕРФЕЙС port 2222
>и посмотри куда и откуда летят пакеты с таким портом

Tcpdump-ом щупал порт 2222 таким образом: tcpdump port 2222, но ни так ни твой вариант ничего не дает. Прописал свой днс тоже не помогает. Я в allow_direct указывал данный урл но и это ничего не дало.


"Squid не открывает некоторые страницы"
Отправлено victorsamara , 23-Июл-08 14:28 
вот задачка, конфиг ф студию

прошу обратить внимание на появление новой теме о новом проекте SquidModel


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 23-Июл-08 15:12 
>вот задачка, конфиг ф студию
>
>прошу обратить внимание на появление новой теме о новом проекте SquidModel

Все остальное по дефолту

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 10000
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp new added
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 1723 #pptp
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 2222 #
acl CONNECT method CONNECT
acl Students src 192.168.120.5-192.168.120.60
acl Multimedia urlpath_regex -i \.mp3$ \.wav$ \.avi$ \.mov$ \.ra$ \.ram$ \.rmi$ \.snd$ \.asf$ \.asr$ \.asx$ \.ivf$ \.lisf$ \.lsx$ \.mlv$ \.movie$ \.mp2$ \.mpa$ \.mpe$ \.mpeg$ \.midi$ \.mid$ \.ape$ \.flac$ \.djvu$ \.pdf$ \.doc$
acl ADMINISTRATOR src 192.168.40.100
acl Library src 192.168.87.2-192.168.87.3

http_access allow ADMINISTRATOR
http_access deny !Safe_ports
http_access allow Library
http_access allow Students
http_access allow all

http_reply_access allow all
icp_access allow Library
icp_access deny all

reply_body_max_size 15360000 allow Students
reply_body_max_size 5242880000 allow Library

http_port 8080 transparent

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_mem 100 MB

access_log /var/log/squid/access.log squid

refresh_pattern ^ftp:        1440&nbs...
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320

via off

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

httpd_accel_no_pmtu_disc on

delay_pools 4

delay_class 1 2
delay_class 2 1
delay_class 3 2
delay_class 4 2


delay_access 1 allow Students
delay_access 1 deny all
delay_access 2 allow ADMINISTRATOR
delay_access 2 deny all
delay_access 3 allow Library
delay_access 3 deny all
delay_access 4 allow Students
delay_access 4 allow Multimedia
delay_access 4 deny all


delay_parameters 1 100000/30000000 -1/-1
delay_parameters 2 -1/-1
delay_parameters 4 -1/-1 5000/5000000
delay_parameters 3 75000/5000000 -1/-1

icp_port 3130

always_direct allow all

dns_testnames 192.168.147.11

forwarded_for off

visible_hostname prx-lx2

На счет SquidModel - вещь итерестная, через виртуалку прогоню. Ухпехов!


"Squid не открывает некоторые страницы"
Отправлено reader , 23-Июл-08 16:29 
а прокси в браузере прописан или в прозрачном используете?

"Squid не открывает некоторые страницы"
Отправлено TheObserver , 23-Июл-08 16:39 
>а прокси в браузере прописан или в прозрачном используете?

Он прозрачный, работает и так и так.


"Squid не открывает некоторые страницы"
Отправлено reader , 23-Июл-08 17:03 
>>а прокси в браузере прописан или в прозрачном используете?
>
>Он прозрачный, работает и так и так.

если в браузере не прописан, то обращение к 2222 тоже заворачивать нужно, а как у вас?


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 23-Июл-08 19:09 
>>>а прокси в браузере прописан или в прозрачном используете?
>>
>>Он прозрачный, работает и так и так.
>
>если в браузере не прописан, то обращение к 2222 тоже заворачивать нужно,
>а как у вас?

Но ведь я не заворачиваю порты которые идут с клиентского браузера, а ведь сам браузер отсылает просьбы по любому свободному порту. К тому же текстовый редактор прекрастно и без этого работает. В любом случае я завернул этот порт на порт который слушает сквид да вот только картина от этого не изменилась.



"Squid не открывает некоторые страницы"
Отправлено reader , 23-Июл-08 20:47 
>>>>а прокси в браузере прописан или в прозрачном используете?
>>>
>>>Он прозрачный, работает и так и так.
>>
>>если в браузере не прописан, то обращение к 2222 тоже заворачивать нужно,
>>а как у вас?
>
>Но ведь я не заворачиваю порты которые идут с клиентского браузера, а
>ведь сам браузер отсылает просьбы по любому свободному порту. К тому

браузер отсылает запрос с свободного порта, а для прозрачного прокси нужно завернуть порт на который идет запрос (2222).

что у вас? линукс? тогда покажите iptables-save и squid -v.
адреса шлюза и DNS серверов у клиентов прописаны?

>же текстовый редактор прекрастно и без этого работает. В любом случае
>я завернул этот порт на порт который слушает сквид да вот
>только картина от этого не изменилась.

про текстовый редактор не понял.
по указанной ссылке сходил через прозрачный
Squid Cache: Version 2.6.STABLE5, если оставите логин и пароль, для убедительности могу и там погулять. :)


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 24-Июл-08 10:47 
Ну что-ж, вот собственно что есть по сквиду
Squid Cache: Version 2.6.STABLE16
configure options:  '--build=i386-redhat-linux-gnu' '--host=i386-redhat-linux-gnu' '--target=i386-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--datadir=/usr/share' '--sysconfdir=/etc/squid' '--enable-epoll' '--enable-snmp' '--enable-removal-policies=heap,lru' '--enable-storeio=aufs,coss,diskd,null,ufs' '--enable-ssl' '--with-openssl=/usr/kerberos' '--enable-delay-pools' '--enable-linux-netfilter' '--with-pthreads' '--enable-ntlm-auth-helpers=SMB,fakeauth' '--enable-external-acl-helpers=ip_user,ldap_group,unix_group,wbinfo_group' '--enable-auth=basic,digest,ntlm' '--enable-digest-auth-helpers=password' '--with-winbind-auth-challenge' '--enable-useragent-log' '--enable-referer-log' '--disable-dependency-tracking' '--enable-cachemgr-hostname=localhost' '--enable-underscores' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL' '--enable-cache-digests' '--enable-ident-lookups' '--with-large-files' '--enable-follow-x-forwarded-for' '--enable-wccpv2' '--enable-fd-config' '--with-maxfd=16384' 'build_alias=i386-redhat-linux-gnu' 'host_alias=i386-redhat-linux-gnu' 'target_alias=i386-redhat-linux-gnu' 'CFLAGS=-fPIE -Os -g -pipe -fsigned-char' 'LDFLAGS=-pie'

В iptables касательно 80-го порта у меня следуещее
*nat
-A PREROUTING -i eth0(lan interface) -p tcp --dport 80 -j REDIRECT --to-ports 3128
Вчера добавил и эту строчку как вы рекомендовали
-A PREROUTING -i eth0 -p tcp --dport 2222 -j REDIRECT --to-ports 3128

На счет текстого браузера - с хоста сквида запускал lynx и далее без проблем проходил по данной ссылке и еще одной тагого рода, но я её уже забыл.



"Squid не открывает некоторые страницы"
Отправлено reader , 24-Июл-08 11:19 
заворачиваете на 3128, а squid заствяете слушать 8080 ?

"Squid не открывает некоторые страницы"
Отправлено TheObserver , 24-Июл-08 11:57 
>заворачиваете на 3128, а squid заствяете слушать 8080 ?

Извиняюсь :), по запарке, паралельно читал дефолтный конфиг сквида и машинально ввел родной порт. На самом деле в нате делается редирект именно на 8080.


"Squid не открывает некоторые страницы"
Отправлено reader , 24-Июл-08 23:15 
>>заворачиваете на 3128, а squid заствяете слушать 8080 ?
>
>Извиняюсь :), по запарке, паралельно читал дефолтный конфиг сквида и машинально ввел
>родной порт. На самом деле в нате делается редирект именно на
>8080.

по идее уже должно работать если firewall не блокирует.
пробуете с 192.168.40.100?
если в браузере прописать прокси, то же не удается соединится.
в логах squid запрос фиксируется?
попробуйте изменить уровень логирования и проверьте.


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 25-Июл-08 11:22 
К сожалению все еще не работает. Вот что сквид записывает в логах
126 192.168.99.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html


"Squid не открывает некоторые страницы"
Отправлено reader , 25-Июл-08 13:15 
>К сожалению все еще не работает. Вот что сквид записывает в логах
>
>126 192.168.99.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html

для 192.168.99.100 нет acl, через пулы пройдет?


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 25-Июл-08 13:28 
>>К сожалению все еще не работает. Вот что сквид записывает в логах
>>
>>126 192.168.99.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
>
>для 192.168.99.100 нет acl, через пулы пройдет?

Этот адрес идет через пулы, по крайней мере в другие направления. Собственно нашел и свой адрес в логах
128 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
1216794781.657    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/- text/html
1216794782.481    100 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
1216794782.602    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/- text/html
1216794782.962    101 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
1216794783.095    102 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/- text/html



"Squid не открывает некоторые страницы"
Отправлено reader , 25-Июл-08 14:14 
>[оверквотинг удален]
>1216794781.657    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/-
>text/html
>1216794782.481    100 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/-
>text/html
>1216794782.602    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/-
>text/html
>1216794782.962    101 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/-
>text/html
>1216794783.095    102 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/-
>text/html

есть антивирус, фильтры, выше стоящие прокси?
попробуй повыкдючать, упростите конфиг в плане ограничений,
поставте debug_options ALL,9 и смотрите cache.log


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 28-Июл-08 17:41 
Упростил конфиг(поставил http_access allow all снес dedlay pools). В логах по прежнему та же картина. Думаю скатится до версии 2.5. Вы говорили что у вас подобное работает может с этого края начать.


"Squid не открывает некоторые страницы"
Отправлено reader , 28-Июл-08 21:49 
debian squid3.0 прозрачный

tail -n100 ./access.log|grep rus
1217263770.068    238 10.10.0.17 TCP_MISS/200 1310 GET http://rus-waphost.ru:2222/ - DIRECT/91.193.130.126 text/html

iptables-save -t nat
# Generated by iptables-save v1.3.6 on Mon Jul 28 20:50:49 2008
*nat
-A PREROUTING -s 10.10.0.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -p tcp -m multiport --dports 80,8000:8088,3128,2222 -j DNAT --to-destination 10.10.0.254:3128
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.3
COMMIT
# Completed on Mon Jul 28 20:50:49 2008

squid3 -v
Squid Cache: Version 3.0.PRE5
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,coss' '--enable-diskio=AIO,Blocking,DiskDaemon,DiskThreads' '--enable-removal-policies=lru,heap' '--enable-poll' '--enable-digest-pools' '--enable-snmp' '--enable-htcp' '--enable-select' '--enable-carp' '--enable-large-files' '--enable-underscores' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--with-filedescriptors=4096' '--enable-epoll' '--enable-linux-netfilter' 'CC=cc' 'CFLAGS=-g -Wall -O2' 'CPPFLAGS=' 'CXXFLAGS=-g -Wall -O2' 'CXX=g++' 'LDFLAGS=' 'build_alias=i486-linux-gnu'


freeBSD 7 squid 2.6 прозрачный

tail ./access.log |grep rus
1217264742.704    441 10.10.1.10 TCP_MISS/200 1347 GET http://rus-waphost.ru:2222/ - DIRECT/rus-waphost.ru text/html

squid -v
Squid Cache: Version 2.6.STABLE19
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-arp-acl' '--enable-pf-transparent' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish Ukrainian-1251  Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'host_alias=i386-portbld-freebsd7.0' 'target_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS='


"Squid не открывает некоторые страницы"
Отправлено TheObserver , 01-Авг-08 17:03 
Спасибо всем за участие, особенно вам reader. Решение как всегда до дикости проста и в моем случае это простая, нет не простая а долбанная галочка. Меня все мучал вопрос почему с хоста проксы текстовые браузеры открывали подобные страницы а у клиентов нет. Вспомнив сегодня что у меня там еще иксы я решил проверить чего лиса скажет на проксе. Не успел я толком залогинится как troubleshuter SELinux(о котором я напрочь позабыл) заявил мне что демону сквида видите-ли не положено конектится к портам кроме http, ftp, gopher и.т.д и что он блокирует хождения к 2222. После нужной правки все в ажуре. Сегодня я счастлив!
Кстати я снес все в иптаблес что касалось данных портов и как прежде делаю только заворот 80-го на порт сквида и работает.

П.С.
Извиняюсь за столь неуместно предоставленные хлопоты.