URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7183
[ Назад ]

Исходное сообщение
"Squid и сайт sberbank.ru"

Отправлено Cheburashka , 22-Май-15 08:40 
Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема - что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает - This part of the page can't be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего:

1432272664.391    121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 -

Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации - тоже самое:

1432272926.972    215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person - HIER_DIRECT/194.54.14.159 -

если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах...

Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128

# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D s@domain.local -W XXXXXX -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))" -h dc.domain.local

acl SSL_ports         port 443    # ssl
acl SSL_ports         port 9091    # BKS-bank
acl SSL_ports         port 9443    # sberbank
acl Safe_ports         port 80        # http
acl Safe_ports         port 21     # ftp
acl Safe_ports         port 443     # https
acl Safe_ports         port 70     # gopher
acl Safe_ports         port 210     # wais
acl Safe_ports         port 1025-65535    # unregistered ports
acl Safe_ports         port 280     # http-mgmt
acl Safe_ports         port 488     # gss-http
acl Safe_ports         port 591     # filemaker
acl Safe_ports         port 777     # multiling http
acl CONNECT         method             CONNECT

# Списки доступа клиентов
acl IP_Full_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt"
acl IP_Restrict_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt"
acl IP_Kadr_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt"
acl IP_Razvlech_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt"
acl IP_SocSeti_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt"
acl IP_Standard_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt"
acl IP_Video_Access    src            "/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt"

acl lan         src            192.168.0.0/24
acl lan2 src            10.0.105.0/24 192.168.2.0/24
acl auth         proxy_auth         REQUIRED
acl Blocked_Access    external memberof     Internet-Blocked
acl Restricted_Access    external memberof     Internet-Restricted
acl Standard_Access    external memberof     Internet-Standard
acl Full_Access        external memberof    Internet-Full
acl Kadr_Access        external memberof    Internet-Kadr
acl Video_Access    external memberof    Internet-Video
acl Razvlech_Access    external memberof    Internet-Razvlecheniya
acl SocSeti_Access    external memberof    Internet-SocSeti
acl Steam_Access    src            192.168.0.50
acl sber        dstdomain        .sberbank.ru

#Списки доступа к сайтам
acl Allowed_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt"
acl Priority_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_priority.txt"
acl Porno_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_porno.txt"
acl Video_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt"
acl Kadr_Sites        dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt"
acl Razvlech_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt"
acl SocSeti_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt"
acl Steam        dstdomain         "/etc/squid3/Site_ACLs/conf_param_sites_steam.txt"
acl SteamRegEx        urlpath_regex -i     serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers    src            "/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt"
acl GlobalWU_Sites    dstdomain        "/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt"
http_access    allow    localhost manager
http_access    allow    lan manager
http_access    deny    manager
http_access    deny    !Safe_ports
http_access    deny    CONNECT !SSL_ports
http_access    allow    sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access    deny    Porno_Sites
# Allow unrestricted access to prioritysites
http_access    allow    Priority_Sites
# Allow direct access to Windows Update
http_access    allow    GlobalWU_Sites    LocalWU_Servers
# Allow direct access to steam
http_access    allow    Steam        Steam_Access
http_access    allow    SteamRegEx    Steam_Access
http_access    deny    IP_Restrict_Access    all
http_access    allow    IP_Full_Access
http_access    allow    Video_Sites        IP_Video_Access
http_access    deny    Video_Sites        lan2
http_access    allow    Razvlech_Sites        IP_Razvlech_Access
http_access    deny    Razvlech_Sites        lan2
http_access    allow    Kadr_Sites        IP_Kadr_Access
http_access    deny    Kadr_Sites        lan2
http_access    allow    SocSeti_Sites        IP_SocSeti_Access
http_access    deny    SocSeti_Sites        lan2
http_access    allow    IP_Standard_Access
http_access    deny    lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access    deny    !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access    deny    Blocked_Access        all
http_access    allow    Allowed_Sites                    lan
http_access    deny    Restricted_Access    all
http_access    deny    IP_Restrict_Access    all
http_access    allow    Full_Access                auth    lan
http_access    allow    Video_Sites        Video_Access     auth    lan
http_access    deny    Video_Sites
http_access    allow    Razvlech_Sites        Razvlech_Access    auth    lan
http_access    deny    Razvlech_Sites
http_access    allow    Kadr_Sites        Kadr_Access    auth    lan
http_access    deny    Kadr_Sites
http_access    allow    SocSeti_Sites        SocSeti_Access    auth    lan
http_access    deny    SocSeti_Sites
http_access    allow    Standard_Access                auth    lan
http_access    deny    all


Содержание

Сообщения в этом обсуждении
"Squid и сайт sberbank.ru"
Отправлено Илья рядовой Ефимов , 22-Май-15 13:23 
У нас абсолютно такая же проблема с SQUID 3. Напрямую все работает, через прокси - ошибка. Мы решили прописать правила в IP tables - в обход прокси

"Squid и сайт sberbank.ru"
Отправлено Etch , 23-Май-15 02:10 
Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне без надобности):
X-Forwarded-For: unknown

Лечится таким параметром в сквиде:

forwarded_for  delete


"Squid и сайт sberbank.ru"
Отправлено Cheburashka , 25-Май-15 11:07 
> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
> без надобности):
>
X-Forwarded-For: unknown

> Лечится таким параметром в сквиде:
>
forwarded_for  delete

Спасибо, данный способ помог


"Squid и сайт sberbank.ru"
Отправлено athlon128 , 25-Май-15 14:21 
> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
> без надобности):
>
X-Forwarded-For: unknown

> Лечится таким параметром в сквиде:
>
forwarded_for  delete

Спасибо, супер.


"Squid и сайт sberbank.ru"
Отправлено dumatel , 25-Май-15 15:57 
>> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
>> без надобности):
>>
X-Forwarded-For: unknown

>> Лечится таким параметром в сквиде:
>>
forwarded_for  delete

> Спасибо, супер.

Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и как именно прописывать это параметр?
Пример конфигурации может быть кто покажет?


"Squid и сайт sberbank.ru"
Отправлено Cheburashka , 25-Май-15 15:59 
>>> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
>>> без надобности):
>>>
X-Forwarded-For: unknown

>>> Лечится таким параметром в сквиде:
>>>
forwarded_for  delete

>> Спасибо, супер.
> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
> как именно прописывать это параметр?
> Пример конфигурации может быть кто покажет?

Debian: /etc/squid3/squid.conf в новой строке прописать

forwarded_for  delete


"Squid и сайт sberbank.ru"
Отправлено dumatel , 25-Май-15 16:11 
>[оверквотинг удален]
>>>> без надобности):
>>>>
X-Forwarded-For: unknown

>>>> Лечится таким параметром в сквиде:
>>>>
forwarded_for  delete

>>> Спасибо, супер.
>> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
>> как именно прописывать это параметр?
>> Пример конфигурации может быть кто покажет?
> Debian: /etc/squid3/squid.conf в новой строке прописать
>
forwarded_for  delete

Огромное спасибо!
Помогло!


"Squid и сайт sberbank.ru"
Отправлено StSocrat , 23-Июл-15 12:57 
>[оверквотинг удален]
>>>>> Лечится таким параметром в сквиде:
>>>>>
forwarded_for  delete

>>>> Спасибо, супер.
>>> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
>>> как именно прописывать это параметр?
>>> Пример конфигурации может быть кто покажет?
>> Debian: /etc/squid3/squid.conf в новой строке прописать
>>
forwarded_for  delete

> Огромное спасибо!
> Помогло!

не помогло... чорд...