The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Срочно нужна помощь Squd не работает!"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"Срочно нужна помощь Squd не работает!"  –1 +/
Сообщение от bearwoolf (ok) on 26-Янв-17, 15:02 
Добрый день! Два года к ряду работал себе Squid и сегодня без ведомых причин все встало колом и не пашет. Авторизация проходит!
С Самого сервера инет есть ping по имени и ИП, nslookup работает!
Telnet на сервер подключается
Минуя SQUID инет пашет.
Прошу Помощи!
Логи:
2017/01/25 13:15:08 kid1| Set Current Directory to /var/spool/squid3
2017/01/25 13:15:08 kid1| Starting Squid Cache version 3.4.8 for i586-pc-linux-gnu...
2017/01/25 13:15:08 kid1| Process ID 1141
2017/01/25 13:15:08 kid1| Process Roles: worker
2017/01/25 13:15:08 kid1| With 65535 file descriptors available
2017/01/25 13:15:08 kid1| Initializing IP Cache...
2017/01/25 13:15:08 kid1| DNS Socket created at [::], FD 7
2017/01/25 13:15:08 kid1| DNS Socket created at 0.0.0.0, FD 8
2017/01/25 13:15:08 kid1| Adding domain domain.local from /etc/resolv.conf
2017/01/25 13:15:08 kid1| Adding nameserver 192.168.21.215 from /etc/resolv.conf
2017/01/25 13:15:08 kid1| helperOpenServers: Starting 0/50 'basic_ldap_auth' processes
2017/01/25 13:15:08 kid1| helperOpenServers: No 'basic_ldap_auth' processes needed.
2017/01/25 13:15:08 kid1| helperOpenServers: Starting 5/5 'ext_ldap_group_acl' processes
2017/01/25 13:15:08 kid1| Logfile: opening log /var/log/squid3/access.log
2017/01/25 13:15:08 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid3/access.log'
2017/01/25 13:15:08 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2017/01/25 13:15:08 kid1| Store logging disabled
2017/01/25 13:15:08 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2017/01/25 13:15:08 kid1| Target number of buckets: 1008
2017/01/25 13:15:08 kid1| Using 8192 Store buckets
2017/01/25 13:15:08 kid1| Max Mem  size: 262144 KB
2017/01/25 13:15:08 kid1| Max Swap size: 0 KB
2017/01/25 13:15:08 kid1| Using Least Load store dir selection
2017/01/25 13:15:08 kid1| Set Current Directory to /var/spool/squid3
2017/01/25 13:15:08 kid1| Finished loading MIME types and icons.
2017/01/25 13:15:08 kid1| HTCP Disabled.
2017/01/25 13:15:08 kid1| Pinger socket opened on FD 22
2017/01/25 13:15:08 kid1| Squid plugin modules loaded: 0
2017/01/25 13:15:08 kid1| Adaptation support is off.
2017/01/25 13:15:08 kid1| Accepting HTTP Socket connections at local=192.168.21.217:3128 remote=[::] FD 20 flags=9
2017/01/25 13:15:08| pinger: Initialising ICMP pinger ...
2017/01/25 13:15:08| pinger: ICMP socket opened.
2017/01/25 13:15:08| pinger: ICMPv6 socket opened
2017/01/25 13:15:09 kid1| storeLateRelease: released 0 objects
2017/01/25 13:15:27 kid1| Starting new basicauthenticator helpers...
2017/01/25 13:15:27 kid1| helperOpenServers: Starting 1/50 'basic_ldap_auth' processes
Конфиг:
auth_param basic program /usr/lib/squid3/basic_ldap_auth -R -D ProxyUser1@domain.local -w "password" -b "DC=domain,DC=local" -f "sAMAccountName=%s" -h 192.168.21.215
#и параметры для его запуска
auth_param basic children 50
auth_param basic realm Welcome! Please, enter your password.
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
#описываем локальную сеть (про acl'ки типа localhost и all squid3 знает сам)
acl localnet src 192.168.21.0/24
#разрешенные порты, методы и области подключения
acl Safe_ports port 20-21
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 8080
acl Safe_ports port 443
#http_access deny !Safe_ports
acl CONNECT method CONNECT
external_acl_type ldap_users %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=domain,dc=local" -D "cn=ProxyUser,cn=Users,dc=domen,dc=local" -w "password"
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,CN=Users,dc=domen,dc=local))" -h 192.168.21.215
#Запрещенные сайты
acl black_list dstdomain "/etc/squid3/black_list"

#Группы
acl Internet external ldap_users Internet
acl Internetmin external ldap_users Internetmin
http_access allow all Internet
#Запретить группе сайты из листа
#http_access allow all Internetmin
http_access deny Internetmin black_list
http_access allow all Internetmin
#в конце запретим всем остальным пользование этим прокси-сервером
http_access deny all
#далее идут мои настройки
http_port 192.168.21.217:3128
#SYSTEM
# Куда и в каком объеме будем писать логи
access_log /var/log/squid3/access.log
logfile_rotate 100
coredump_dir /var/spool/squid3
# Запрещаем отображение версии прокси-сервера и имени
httpd_suppress_version_string on
visible_hostname PROXYSERVER
# Включаем русский язык для сообщений сервера
error_directory /usr/share/squid3/errors/Russian-1251
error_default_language ru# Включаем русский язык для сообщений сервера
error_directory /usr/share/squid3/errors/Russian-1251


Iptables:
iptables -n -L -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destina                                                  tion

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destina                                                  tion

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destina

При чем
Сайт ulmart.ru и opennet.ru открываются.
Напомню что все сайты которые не открываются тип mail.ru или vk.com открываются на прямую из этой же сети.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Срочно нужна помощь Squd не работает!"  –1 +/
Сообщение от bearwoolf (ok) on 26-Янв-17, 15:31 
Новые логи, по ним на Юлмарт и опеннет заходи а на yandex и mail.ru нет

1485433769.180     89 192.168.21.210 TCP_MISS/200 19714 GET http://opennet.ru/ - HIER_DIRECT/94.142.141.14 text/html
1485433769.253     55 192.168.21.210 TCP_MISS/200 533 GET http://top-fwz1.mail.ru/counter? - HIER_DIRECT/217.69.136.175 image/gif
1485433769.338     79 192.168.21.210 TCP_MISS/200 1116 GET http://www.opennet.ru/favicon.png - HIER_DIRECT/94.142.141.14 image/png
1485433774.279  47921 192.168.21.210 TCP_MISS/200 2802 CONNECT io3-push11.livetex.ru:443 - HIER_DIRECT/185.39.80.24 -
1485433782.388  10760 192.168.21.210 TCP_MISS/200 137 CONNECT io3-push11.livetex.ru:443 - HIER_DIRECT/185.39.80.24 -
1485433786.330  59971 192.168.21.210 TCP_MISS/503 0 CONNECT beacons.gvt2.com:443 - HIER_NONE/- -
1485433786.330  59941 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433786.330  59343 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433786.389  13800 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.390  13799 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.391  13800 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.391  13801 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.392  13802 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433786.392  13803 192.168.21.210 TCP_MISS/200 161 CONNECT p.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.158 -
1485433794.378  59694 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433798.381  59977 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433799.169  60000 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433805.147  32560 192.168.21.210 TCP_MISS/200 7691 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433805.149  32561 192.168.21.210 TCP_MISS/200 1275 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433805.149  32561 192.168.21.210 TCP_MISS/200 187975 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -
1485433806.237  59428 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433807.579  34991 192.168.21.210 TCP_MISS/200 68402 CONNECT www.ulmart.ru:443 - HIER_DIRECT/178.248.236.28 -
1485433816.333  59943 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433816.333  59942 192.168.21.210 TCP_MISS/503 0 CONNECT beacons2.gvt2.com:443 - HIER_NONE/- -
1485433817.009  60009 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433823.403  60036 192.168.21.210 TCP_MISS/503 0 CONNECT yandex.ru:443 - HIER_NONE/- -
1485433823.403  60034 192.168.21.210 TCP_MISS/503 0 CONNECT yastatic.net:443 - HIER_NONE/- -
1485433823.403  60034 192.168.21.210 TCP_MISS/503 0 CONNECT yastatic.net:443 - HIER_NONE/- -
1485433824.404  59720 192.168.21.210 TCP_MISS/503 0 CONNECT clients1.google.com:443 - HIER_NONE/- -
1485433825.404  59761 192.168.21.210 TCP_MISS/503 0 CONNECT mail.ru:443 - HIER_NONE/- -
1485433825.404  59760 192.168.21.210 TCP_MISS/503 0 CONNECT mail.ru:443 - HIER_NONE/- -
1485433832.409  59818 192.168.21.210 TCP_MISS/503 0 CONNECT vk.com:443 - HIER_NONE/- -
1485433832.409  59821 192.168.21.210 TCP_MISS/503 0 CONNECT googleads.g.doubleclick.net:443 - HIER_NONE/- -
1485433832.409  59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagservices.com:443 - HIER_NONE/- -
1485433832.409  59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagmanager.com:443 - HIER_NONE/- -
1485433833.234  60645 192.168.21.210 TCP_MISS/200 193805 CONNECT 2b31s0p.r.fast.ulmart.ru:443 - HIER_DIRECT/37.29.104.164 -

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Срочно нужна помощь Squd не работает!"  +/
Сообщение от bearwoolf (ok) on 26-Янв-17, 15:55 
tcpdump -i eth0 host mail.ru and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Срочно нужна помощь Squd не работает!"  +/
Сообщение от Andrey Mitrofanov on 26-Янв-17, 15:59 
> Новые логи, по ним на Юлмарт и опеннет заходи а на yandex
> и mail.ru нет
> 1485433769.180     89 192.168.21.210 TCP_MISS/200 19714 GET http://opennet.ru/ -

Вижу, http проходит.

> HIER_DIRECT/94.142.141.14 text/html> 1485433832.409  59817 192.168.21.210 TCP_MISS/503 0 CONNECT www.googletagmanager.com:443
> - HIER_NONE/- -

Вижу, https не проходит.

> 1485433833.234  60645 192.168.21.210 TCP_MISS/200 193805 CONNECT 2b31s0p.r.fast.ulmart.ru:443
> - HIER_DIRECT/37.29.104.164 -

... https на юлмарт проходит.

По списку _access-ов, и тому, что user (ip по кр.мере) один...

#>> http_access allow all Internet
#>> http_access deny Internetmin black_list
#>> http_access allow all Internetmin
#>> http_access deny all

...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny ... black_list`. Попробуй без этого http_access-deny-я ?...

Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем не обязано совпадать с обратным~~~).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Срочно нужна помощь Squd не работает!"  +/
Сообщение от bearwoolf (ok) on 26-Янв-17, 16:03 
>[оверквотинг удален]
> По списку _access-ов, и тому, что user (ip по кр.мере) один...
> #>> http_access allow all Internet
> #>> http_access deny Internetmin black_list
> #>> http_access allow all Internetmin
> #>> http_access deny all
> ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny
> ... black_list`. Попробуй без этого http_access-deny-я ?...
> Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то
> фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем
> не обязано совпадать с обратным~~~).

Оставил только http_access allow all
Все равно не работает( меня сожрут юзеры

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Срочно нужна помощь Squd не работает!"  +/
Сообщение от bearwoolf (ok) on 26-Янв-17, 16:17 
>[оверквотинг удален]
>> #>> http_access deny Internetmin black_list
>> #>> http_access allow all Internetmin
>> #>> http_access deny all
>> ...и предполагая, что "случается" какой ни то DENY, подозреваемый один -- `deny
>> ... black_list`. Попробуй без этого http_access-deny-я ?...
>> Кроме того, постотри доку про acl dstdomain -- если там rev.DNS, то
>> фильтрует оно совсем не то, куда пользователь ходит ("прямое" имя совсем
>> не обязано совпадать с обратным~~~).
> Оставил только http_access allow all
> Все равно не работает( меня сожрут юзеры

Кажись помогло!
AG: dns_v4_first. Этот тэг определяет какой протокол будет предпочтительней для Squid при подключении к веб-сайтам. По умолчанию IPv6.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor