 Срочно нужна помощь Squd не работает!,  bearwoolf, 26-Янв-17, 15:02 [смотреть все]Добрый день! Два года к ряду работал себе Squid и сегодня без ведомых причин все встало колом и не пашет. Авторизация проходит!
С Самого сервера инет есть ping по имени и ИП, nslookup работает!
Telnet на сервер подключается
Минуя SQUID инет пашет.
Прошу Помощи!
Логи:
2017/01/25 13:15:08 kid1| Set Current Directory to /var/spool/squid3
2017/01/25 13:15:08 kid1| Starting Squid Cache version 3.4.8 for i586-pc-linux-gnu...
2017/01/25 13:15:08 kid1| Process ID 1141
2017/01/25 13:15:08 kid1| Process Roles: worker
2017/01/25 13:15:08 kid1| With 65535 file descriptors available
2017/01/25 13:15:08 kid1| Initializing IP Cache...
2017/01/25 13:15:08 kid1| DNS Socket created at [::], FD 7
2017/01/25 13:15:08 kid1| DNS Socket created at 0.0.0.0, FD 8
2017/01/25 13:15:08 kid1| Adding domain domain.local from /etc/resolv.conf
2017/01/25 13:15:08 kid1| Adding nameserver 192.168.21.215 from /etc/resolv.conf
2017/01/25 13:15:08 kid1| helperOpenServers: Starting 0/50 'basic_ldap_auth' processes
2017/01/25 13:15:08 kid1| helperOpenServers: No 'basic_ldap_auth' processes needed.
2017/01/25 13:15:08 kid1| helperOpenServers: Starting 5/5 'ext_ldap_group_acl' processes
2017/01/25 13:15:08 kid1| Logfile: opening log /var/log/squid3/access.log
2017/01/25 13:15:08 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid3/access.log'
2017/01/25 13:15:08 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2017/01/25 13:15:08 kid1| Store logging disabled
2017/01/25 13:15:08 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2017/01/25 13:15:08 kid1| Target number of buckets: 1008
2017/01/25 13:15:08 kid1| Using 8192 Store buckets
2017/01/25 13:15:08 kid1| Max Mem size: 262144 KB
2017/01/25 13:15:08 kid1| Max Swap size: 0 KB
2017/01/25 13:15:08 kid1| Using Least Load store dir selection
2017/01/25 13:15:08 kid1| Set Current Directory to /var/spool/squid3
2017/01/25 13:15:08 kid1| Finished loading MIME types and icons.
2017/01/25 13:15:08 kid1| HTCP Disabled.
2017/01/25 13:15:08 kid1| Pinger socket opened on FD 22
2017/01/25 13:15:08 kid1| Squid plugin modules loaded: 0
2017/01/25 13:15:08 kid1| Adaptation support is off.
2017/01/25 13:15:08 kid1| Accepting HTTP Socket connections at local=192.168.21.217:3128 remote=[::] FD 20 flags=9
2017/01/25 13:15:08| pinger: Initialising ICMP pinger ...
2017/01/25 13:15:08| pinger: ICMP socket opened.
2017/01/25 13:15:08| pinger: ICMPv6 socket opened
2017/01/25 13:15:09 kid1| storeLateRelease: released 0 objects
2017/01/25 13:15:27 kid1| Starting new basicauthenticator helpers...
2017/01/25 13:15:27 kid1| helperOpenServers: Starting 1/50 'basic_ldap_auth' processes
Конфиг:
auth_param basic program /usr/lib/squid3/basic_ldap_auth -R -D ProxyUser1@domain.local -w "password" -b "DC=domain,DC=local" -f "sAMAccountName=%s" -h 192.168.21.215
#и параметры для его запуска
auth_param basic children 50
auth_param basic realm Welcome! Please, enter your password.
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
#описываем локальную сеть (про acl'ки типа localhost и all squid3 знает сам)
acl localnet src 192.168.21.0/24
#разрешенные порты, методы и области подключения
acl Safe_ports port 20-21
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 8080
acl Safe_ports port 443
#http_access deny !Safe_ports
acl CONNECT method CONNECT
external_acl_type ldap_users %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D "cn=ProxyUser,cn=Users,dc=domen,dc=local" -w "password"
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,CN=Users,dc=domen,dc=local))" -h 192.168.21.215
#Запрещенные сайты
acl black_list dstdomain "/etc/squid3/black_list"#Группы
acl Internet external ldap_users Internet
acl Internetmin external ldap_users Internetmin
http_access allow all Internet
#Запретить группе сайты из листа
#http_access allow all Internetmin
http_access deny Internetmin black_list
http_access allow all Internetmin
#в конце запретим всем остальным пользование этим прокси-сервером
http_access deny all
#далее идут мои настройки
http_port 192.168.21.217:3128
#SYSTEM
# Куда и в каком объеме будем писать логи
access_log /var/log/squid3/access.log
logfile_rotate 100
coredump_dir /var/spool/squid3
# Запрещаем отображение версии прокси-сервера и имени
httpd_suppress_version_string on
visible_hostname PROXYSERVER
# Включаем русский язык для сообщений сервера
error_directory /usr/share/squid3/errors/Russian-1251
error_default_language ru# Включаем русский язык для сообщений сервера
error_directory /usr/share/squid3/errors/Russian-1251
Iptables:
iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina tion
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina tion Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina При чем
Сайт ulmart.ru и opennet.ru открываются.
Напомню что все сайты которые не открываются тип mail.ru или vk.com открываются на прямую из этой же сети.
|
- Срочно нужна помощь Squd не работает!, bearwoolf, 15:31 , 26-Янв-17 (1) –1
Новые логи, по ним на Юлмарт и опеннет заходи а на yandex и mail.ru нет1485433769.180 89 192.168.21.210 TCP_MISS/200 19714 GET http://opennet.ru/ - HIER_DIRECT/94.142.141.14 text/html
1485433769.253 55 192.168.21.210 TCP_MISS/200 533 GET http://top-fwz1.mail.ru/counter? - HIER_DIRECT/217.69.136.175 image/gif
1485433769.338 79 192.168.21.210 TCP_MISS/200 1116 GET http://www.opennet.me/favicon.png - HIER_DIRECT/94.142.141.14 image/png
1485433774.279 47921 192.168.21.210 TCP_MISS/200 2802 CONNECT io3-push11.livetex.ru:443 - HIER_DIRECT/185.39.80.24 -
1485433782.388 10760 192.168.21.210 TCP_MISS/200 137 CONNECT io3-push11.livetex.ru:443 - HIER_DIRECT/185.39.80.24 -
1485433786.330 59971 192.168.21.210 TCP_MISS/503 0 CONNECT beacons.gvt2.com:443 - HIER_NONE/- -
1485433786.330 59941 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433786.330 59343 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433786.389 13800 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.390 13799 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.391 13800 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.391 13801 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.392 13802 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.392 13803 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433794.378 59694 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433798.381 59977 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433799.169 60000 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433805.147 32560 192.168.21.210 TCP_MISS/200 7691 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433805.149 32561 192.168.21.210 TCP_MISS/200 1275 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433805.149 32561 192.168.21.210 TCP_MISS/200 187975 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433806.237 59428 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433807.579 34991 192.168.21.210 TCP_MISS/200 68402 CONNECT www.ulmart.ru:443 - HIER_DIRECT/178.248.236.28 -
1485433816.333 59943 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433816.333 59942 192.168.21.210 TCP_MISS/503 0 CONNECT beacons2.gvt2.com:443 - HIER_NONE/- -
1485433817.009 60009 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433823.403 60036 192.168.21.210 TCP_MISS/503 0 CONNECT yandex.ru:443 - HIER_NONE/- -
1485433823.403 60034 192.168.21.210 TCP_MISS/503 0 CONNECT yastatic.net:443 - HIER_NONE/- -
1485433823.403 60034 192.168.21.210 TCP_MISS/503 0 CONNECT yastatic.net:443 - HIER_NONE/- -
1485433824.404 59720 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433825.404 59761 192.168.21.210 TCP_MISS/503 0 CONNECT mail.ru:443 - HIER_NONE/- -
1485433825.404 59760 192.168.21.210 TCP_MISS/503 0 CONNECT mail.ru:443 - HIER_NONE/- -
1485433832.409 59818 192.168.21.210 TCP_MISS/503 0 CONNECT vk.com:443 - HIER_NONE/- -
1485433832.409 59821 192.168.21.210 TCP_MISS/503 0 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE/- -
1485433832.409 59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagservices.com:443 - HIER_NONE/- -
1485433832.409 59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagmanager.com:443 - HIER_NONE/- -
1485433833.234 60645 192.168.21.210 TCP_MISS/200 193805 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
- Срочно нужна помощь Squd не работает!, bearwoolf, 15:55 , 26-Янв-17 (2)
tcpdump -i eth0 host mail.ru and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
- Срочно нужна помощь Squd не работает!, Andrey Mitrofanov, 15:59 , 26-Янв-17 (3)
> Новые логи, по ним на Юлмарт и опеннет заходи а на yandex
> и mail.ru нет
> 1485433769.180 89 192.168.21.210 TCP_MISS/200 19714 GET http://opennet.ru/ - Вижу, http проходит. > HIER_DIRECT/94.142.141.14 text/html> 1485433832.409 59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagmanager.com:443
> - HIER_NONE/- - Вижу, https не проходит. > 1485433833.234 60645 192.168.21.210 TCP_MISS/200 193805 CONNECT 2b31s0p.r.fast.ulmart.ru:443
> - HIER_DIRECT/37.29.104.164 - ... https на юлмарт проходит. По списку _access-ов, и тому, что user (ip по кр.мере) один... #>> http_access allow all Internet
#>> http_access deny Internetmin black_list
#>> http_access allow all Internetmin
#>> http_access deny all ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny ... black_list`. Попробуй без этого http_access-deny-я ?... Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем не обязано совпадать с обратным~~~).
- Срочно нужна помощь Squd не работает!, bearwoolf, 16:03 , 26-Янв-17 (4)
>[оверквотинг удален]
> По списку _access-ов, и тому, что user (ip по кр.мере) один...
> #>> http_access allow all Internet
> #>> http_access deny Internetmin black_list
> #>> http_access allow all Internetmin
> #>> http_access deny all
> ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny
> ... black_list`. Попробуй без этого http_access-deny-я ?...
> Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то
> фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем
> не обязано совпадать с обратным~~~).Оставил только http_access allow all
Все равно не работает( меня сожрут юзеры
- Срочно нужна помощь Squd не работает!, bearwoolf, 16:17 , 26-Янв-17 (5)
>[оверквотинг удален]
>> #>> http_access deny Internetmin black_list
>> #>> http_access allow all Internetmin
>> #>> http_access deny all
>> ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny
>> ... black_list`. Попробуй без этого http_access-deny-я ?...
>> Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то
>> фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем
>> не обязано совпадать с обратным~~~).
> Оставил только http_access allow all
> Все равно не работает( меня сожрут юзеры Кажись помогло!
AG: dns_v4_first. Этот тэг определяет какой протокол будет предпочтительней для Squid при подключении к веб-сайтам. По умолчанию IPv6.
|
Версия для распечатки
