Доброго вам времени суток!
Суть проблемы такова: есть сквид 2.6 стабл16, работает в принципе хорошо НО при попытке открыть, скажем, нечто подобное http://rus-waphost.ru:2222/ говорит что
The requested URL could not be retrieved
Connection to Failed
The system returned:
    (13) Permission denied.
Интерестно то что линксом с хоста проксы эта страница(и другие подобного рода, имею ввиду то что в урлах фигурирует порт) открывается. И еще, сегодня с виртуалки запустил кнопикс и там konqueror(который шагает в инет напрямую) открыл таки эту страницу, а при указании проксы показывает все ту же страницу как на реальной мащине. Кстати на версии 2.5 такого небыло.
Может у кого стоит данная версия сквида встречался с данной проблемой.
Заранее благодарю за помощь!

• Squid не открывает некоторые страницы,victorsamara, 12:31 , 23-Июл-08
  • Squid не открывает некоторые страницы,TheObserver, 12:57 , 23-Июл-08
    • Squid не открывает некоторые страницы,victorsamara, 13:16 , 23-Июл-08
      • Squid не открывает некоторые страницы,TheObserver, 13:32 , 23-Июл-08
        • Squid не открывает некоторые страницы,victorsamara, 14:28 , 23-Июл-08
          • Squid не открывает некоторые страницы,TheObserver, 15:12 , 23-Июл-08
            • Squid не открывает некоторые страницы,reader, 16:29 , 23-Июл-08
              • Squid не открывает некоторые страницы,TheObserver, 16:39 , 23-Июл-08
                • Squid не открывает некоторые страницы,reader, 17:03 , 23-Июл-08
                  • Squid не открывает некоторые страницы,TheObserver, 19:09 , 23-Июл-08
                    • Squid не открывает некоторые страницы,reader, 20:47 , 23-Июл-08
                      • Squid не открывает некоторые страницы,TheObserver, 10:47 , 24-Июл-08
                        • Squid не открывает некоторые страницы,reader, 11:19 , 24-Июл-08
                          • Squid не открывает некоторые страницы,TheObserver, 11:57 , 24-Июл-08
                            • Squid не открывает некоторые страницы,reader, 23:15 , 24-Июл-08
                              • Squid не открывает некоторые страницы,TheObserver, 11:22 , 25-Июл-08
                                • Squid не открывает некоторые страницы,reader, 13:15 , 25-Июл-08
                                  • Squid не открывает некоторые страницы,TheObserver, 13:28 , 25-Июл-08
                                    • Squid не открывает некоторые страницы,reader, 14:14 , 25-Июл-08
                                      • Squid не открывает некоторые страницы,TheObserver, 17:41 , 28-Июл-08
                                        • Squid не открывает некоторые страницы,reader, 21:49 , 28-Июл-08
                                          • Squid не открывает некоторые страницы,TheObserver, 17:03 , 01-Авг-08

>[оверквотинг удален]
>    (13) Permission denied.
> Интерестно то что линксом с хоста проксы эта страница(и другие подобного
>рода, имею ввиду то что в урлах фигурирует порт) открывается. И
>еще, сегодня с виртуалки запустил кнопикс и там konqueror(который шагает в
>инет напрямую) открыл таки эту страницу, а при указании проксы показывает
>все ту же страницу как на реальной мащине. Кстати на версии
>2.5 такого небыло.
> Может у кого стоит данная версия сквида встречался с данной проблемой.
>
>Заранее благодарю за помощь!

а если добавить правило
acl myport port 2222
http_access allow myport
?

>[оверквотинг удален]
>>все ту же страницу как на реальной мащине. Кстати на версии
>>2.5 такого небыло.
>> Может у кого стоит данная версия сквида встречался с данной проблемой.
>>
>>Заранее благодарю за помощь!
>
>а если добавить правило
>acl myport port 2222
>http_access allow myport
>?

Пробовал - эффекта ноль. Добавлял в safe ports - то же самое. Разрешал данный урл через url_regex, включал в dstdomain - ничего. Сейчас вообще поставил allow all но картина не меняется.

>[оверквотинг удален]
>>>Заранее благодарю за помощь!
>>
>>а если добавить правило
>>acl myport port 2222
>>http_access allow myport
>>?
>
>Пробовал - эффекта ноль. Добавлял в safe ports - то же самое.
>Разрешал данный урл через url_regex, включал в dstdomain - ничего. Сейчас
>вообще поставил allow all но картина не меняется.

Возможно сквид не может по этому имени отпределить адрес, пропиши в ручную для сквида ДНС-серваки, параметром
dns_nameservers 1.2.3.4  5.6.7.8 (и так далее все доступные)

ещё посотреть на самом серваке такую вешь:
tcpdump -nq -i ИИТЕРНЕТ_ИНТЕРФЕЙС port 2222
и посмотри куда и откуда летят пакеты с таким портом

>[оверквотинг удален]
>>Разрешал данный урл через url_regex, включал в dstdomain - ничего. Сейчас
>>вообще поставил allow all но картина не меняется.
>
>Возможно сквид не может по этому имени отпределить адрес, пропиши в ручную
>для сквида ДНС-серваки, параметром
>dns_nameservers 1.2.3.4  5.6.7.8 (и так далее все доступные)
>
>ещё посотреть на самом серваке такую вешь:
>tcpdump -nq -i ИИТЕРНЕТ_ИНТЕРФЕЙС port 2222
>и посмотри куда и откуда летят пакеты с таким портом

Tcpdump-ом щупал порт 2222 таким образом: tcpdump port 2222, но ни так ни твой вариант ничего не дает. Прописал свой днс тоже не помогает. Я в allow_direct указывал данный урл но и это ничего не дало.

вот задачка, конфиг ф студию

прошу обратить внимание на появление новой теме о новом проекте SquidModel

>вот задачка, конфиг ф студию
>
>прошу обратить внимание на появление новой теме о новом проекте SquidModel

Все остальное по дефолту

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 10000
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp new added
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 1723 #pptp
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 2222 #
acl CONNECT method CONNECT
acl Students src 192.168.120.5-192.168.120.60
acl Multimedia urlpath_regex -i \.mp3$ \.wav$ \.avi$ \.mov$ \.ra$ \.ram$ \.rmi$ \.snd$ \.asf$ \.asr$ \.asx$ \.ivf$ \.lisf$ \.lsx$ \.mlv$ \.movie$ \.mp2$ \.mpa$ \.mpe$ \.mpeg$ \.midi$ \.mid$ \.ape$ \.flac$ \.djvu$ \.pdf$ \.doc$
acl ADMINISTRATOR src 192.168.40.100
acl Library src 192.168.87.2-192.168.87.3

http_access allow ADMINISTRATOR
http_access deny !Safe_ports
http_access allow Library
http_access allow Students
http_access allow all

http_reply_access allow all
icp_access allow Library
icp_access deny all

reply_body_max_size 15360000 allow Students
reply_body_max_size 5242880000 allow Library

http_port 8080 transparent

hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_mem 100 MB

access_log /var/log/squid/access.log squid

refresh_pattern ^ftp:        1440&nbs...
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320

via off

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

httpd_accel_no_pmtu_disc on

delay_pools 4

delay_class 1 2
delay_class 2 1
delay_class 3 2
delay_class 4 2

delay_access 1 allow Students
delay_access 1 deny all
delay_access 2 allow ADMINISTRATOR
delay_access 2 deny all
delay_access 3 allow Library
delay_access 3 deny all
delay_access 4 allow Students
delay_access 4 allow Multimedia
delay_access 4 deny all

delay_parameters 1 100000/30000000 -1/-1
delay_parameters 2 -1/-1
delay_parameters 4 -1/-1 5000/5000000
delay_parameters 3 75000/5000000 -1/-1

icp_port 3130

always_direct allow all

dns_testnames 192.168.147.11

forwarded_for off

visible_hostname prx-lx2

На счет SquidModel - вещь итерестная, через виртуалку прогоню. Ухпехов!

а прокси в браузере прописан или в прозрачном используете?

>а прокси в браузере прописан или в прозрачном используете?

Он прозрачный, работает и так и так.

>>а прокси в браузере прописан или в прозрачном используете?
>
>Он прозрачный, работает и так и так.

если в браузере не прописан, то обращение к 2222 тоже заворачивать нужно, а как у вас?

>>>а прокси в браузере прописан или в прозрачном используете?
>>
>>Он прозрачный, работает и так и так.
>
>если в браузере не прописан, то обращение к 2222 тоже заворачивать нужно,
>а как у вас?

Но ведь я не заворачиваю порты которые идут с клиентского браузера, а ведь сам браузер отсылает просьбы по любому свободному порту. К тому же текстовый редактор прекрастно и без этого работает. В любом случае я завернул этот порт на порт который слушает сквид да вот только картина от этого не изменилась.

>>>>а прокси в браузере прописан или в прозрачном используете?
>>>
>>>Он прозрачный, работает и так и так.
>>
>>если в браузере не прописан, то обращение к 2222 тоже заворачивать нужно,
>>а как у вас?
>
>Но ведь я не заворачиваю порты которые идут с клиентского браузера, а
>ведь сам браузер отсылает просьбы по любому свободному порту. К тому

браузер отсылает запрос с свободного порта, а для прозрачного прокси нужно завернуть порт на который идет запрос (2222).

что у вас? линукс? тогда покажите iptables-save и squid -v.
адреса шлюза и DNS серверов у клиентов прописаны?

>же текстовый редактор прекрастно и без этого работает. В любом случае
>я завернул этот порт на порт который слушает сквид да вот
>только картина от этого не изменилась.

про текстовый редактор не понял.
по указанной ссылке сходил через прозрачный
Squid Cache: Version 2.6.STABLE5, если оставите логин и пароль, для убедительности могу и там погулять. :)

Ну что-ж, вот собственно что есть по сквиду
Squid Cache: Version 2.6.STABLE16
configure options:  '--build=i386-redhat-linux-gnu' '--host=i386-redhat-linux-gnu' '--target=i386-redhat-linux-gnu' '--program-prefix=' '--prefix=/usr' '--exec-prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sysconfdir=/etc' '--includedir=/usr/include' '--libdir=/usr/lib' '--libexecdir=/usr/libexec' '--sharedstatedir=/usr/com' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--localstatedir=/var' '--datadir=/usr/share' '--sysconfdir=/etc/squid' '--enable-epoll' '--enable-snmp' '--enable-removal-policies=heap,lru' '--enable-storeio=aufs,coss,diskd,null,ufs' '--enable-ssl' '--with-openssl=/usr/kerberos' '--enable-delay-pools' '--enable-linux-netfilter' '--with-pthreads' '--enable-ntlm-auth-helpers=SMB,fakeauth' '--enable-external-acl-helpers=ip_user,ldap_group,unix_group,wbinfo_group' '--enable-auth=basic,digest,ntlm' '--enable-digest-auth-helpers=password' '--with-winbind-auth-challenge' '--enable-useragent-log' '--enable-referer-log' '--disable-dependency-tracking' '--enable-cachemgr-hostname=localhost' '--enable-underscores' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SMB,YP,getpwnam,multi-domain-NTLM,SASL' '--enable-cache-digests' '--enable-ident-lookups' '--with-large-files' '--enable-follow-x-forwarded-for' '--enable-wccpv2' '--enable-fd-config' '--with-maxfd=16384' 'build_alias=i386-redhat-linux-gnu' 'host_alias=i386-redhat-linux-gnu' 'target_alias=i386-redhat-linux-gnu' 'CFLAGS=-fPIE -Os -g -pipe -fsigned-char' 'LDFLAGS=-pie'

В iptables касательно 80-го порта у меня следуещее
*nat
-A PREROUTING -i eth0(lan interface) -p tcp --dport 80 -j REDIRECT --to-ports 3128
Вчера добавил и эту строчку как вы рекомендовали
-A PREROUTING -i eth0 -p tcp --dport 2222 -j REDIRECT --to-ports 3128

На счет текстого браузера - с хоста сквида запускал lynx и далее без проблем проходил по данной ссылке и еще одной тагого рода, но я её уже забыл.

заворачиваете на 3128, а squid заствяете слушать 8080 ?

>заворачиваете на 3128, а squid заствяете слушать 8080 ?

Извиняюсь :), по запарке, паралельно читал дефолтный конфиг сквида и машинально ввел родной порт. На самом деле в нате делается редирект именно на 8080.

>>заворачиваете на 3128, а squid заствяете слушать 8080 ?
>
>Извиняюсь :), по запарке, паралельно читал дефолтный конфиг сквида и машинально ввел
>родной порт. На самом деле в нате делается редирект именно на
>8080.

по идее уже должно работать если firewall не блокирует.
пробуете с 192.168.40.100?
если в браузере прописать прокси, то же не удается соединится.
в логах squid запрос фиксируется?
попробуйте изменить уровень логирования и проверьте.

К сожалению все еще не работает. Вот что сквид записывает в логах
126 192.168.99.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html

>К сожалению все еще не работает. Вот что сквид записывает в логах
>
>126 192.168.99.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html

для 192.168.99.100 нет acl, через пулы пройдет?

>>К сожалению все еще не работает. Вот что сквид записывает в логах
>>
>>126 192.168.99.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
>
>для 192.168.99.100 нет acl, через пулы пройдет?

Этот адрес идет через пулы, по крайней мере в другие направления. Собственно нашел и свой адрес в логах
128 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
1216794781.657    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/- text/html
1216794782.481    100 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
1216794782.602    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/- text/html
1216794782.962    101 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/- text/html
1216794783.095    102 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/- text/html

>[оверквотинг удален]
>1216794781.657    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/-
>text/html
>1216794782.481    100 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/-
>text/html
>1216794782.602    101 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/-
>text/html
>1216794782.962    101 192.168.40.100 TCP_MISS/503 1402 GET http://rus-waphost.ru:2222/ - DIRECT/-
>text/html
>1216794783.095    102 192.168.40.100 TCP_MISS/503 1424 GET http://rus-waphost.ru:2222/favicon.ico - DIRECT/-
>text/html

есть антивирус, фильтры, выше стоящие прокси?
попробуй повыкдючать, упростите конфиг в плане ограничений,
поставте debug_options ALL,9 и смотрите cache.log

Упростил конфиг(поставил http_access allow all снес dedlay pools). В логах по прежнему та же картина. Думаю скатится до версии 2.5. Вы говорили что у вас подобное работает может с этого края начать.

debian squid3.0 прозрачный

tail -n100 ./access.log|grep rus
1217263770.068    238 10.10.0.17 TCP_MISS/200 1310 GET http://rus-waphost.ru:2222/ - DIRECT/91.193.130.126 text/html

iptables-save -t nat
# Generated by iptables-save v1.3.6 on Mon Jul 28 20:50:49 2008
*nat
-A PREROUTING -s 10.10.0.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -p tcp -m multiport --dports 80,8000:8088,3128,2222 -j DNAT --to-destination 10.10.0.254:3128
-A POSTROUTING -o eth1 -j SNAT --to-source 192.168.1.3
COMMIT
# Completed on Mon Jul 28 20:50:49 2008

squid3 -v
Squid Cache: Version 3.0.PRE5
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,coss' '--enable-diskio=AIO,Blocking,DiskDaemon,DiskThreads' '--enable-removal-policies=lru,heap' '--enable-poll' '--enable-digest-pools' '--enable-snmp' '--enable-htcp' '--enable-select' '--enable-carp' '--enable-large-files' '--enable-underscores' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--with-filedescriptors=4096' '--enable-epoll' '--enable-linux-netfilter' 'CC=cc' 'CFLAGS=-g -Wall -O2' 'CPPFLAGS=' 'CXXFLAGS=-g -Wall -O2' 'CXX=g++' 'LDFLAGS=' 'build_alias=i486-linux-gnu'

freeBSD 7 squid 2.6 прозрачный

tail ./access.log |grep rus
1217264742.704    441 10.10.1.10 TCP_MISS/200 1347 GET http://rus-waphost.ru:2222/ - DIRECT/rus-waphost.ru text/html

squid -v
Squid Cache: Version 2.6.STABLE19
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic ntlm digest' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-arp-acl' '--enable-pf-transparent' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish Ukrainian-1251  Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' 'i386-portbld-freebsd7.0' 'build_alias=i386-portbld-freebsd7.0' 'host_alias=i386-portbld-freebsd7.0' 'target_alias=i386-portbld-freebsd7.0' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe ' 'LDFLAGS=' 'CPPFLAGS='

Спасибо всем за участие, особенно вам reader. Решение как всегда до дикости проста и в моем случае это простая, нет не простая а долбанная галочка. Меня все мучал вопрос почему с хоста проксы текстовые браузеры открывали подобные страницы а у клиентов нет. Вспомнив сегодня что у меня там еще иксы я решил проверить чего лиса скажет на проксе. Не успел я толком залогинится как troubleshuter SELinux(о котором я напрочь позабыл) заявил мне что демону сквида видите-ли не положено конектится к портам кроме http, ftp, gopher и.т.д и что он блокирует хождения к 2222. После нужной правки все в ажуре. Сегодня я счастлив!
Кстати я снес все в иптаблес что касалось данных портов и как прежде делаю только заворот 80-го на порт сквида и работает.

П.С.
Извиняюсь за столь неуместно предоставленные хлопоты.