Squid - на втором ПК \"Доступ запрещён\"

[Pl7ofit]

Всем привет, проблема такая:

ПК1 - squid сервер, берет интернет через ppp0 , пропускает его через squid и кэширует, потом отдает его на eth0 для ПК2
ПК2 - в браузере squid пишет "Доступ запрещен"

 

squid.conf

(Нажмите, чтобы показать/скрыть)

visible_hostname profit-squid-server
icp_port 0
http_port 3128 intercept
cache_dir ufs /home/profit/.squid 4096 16 256
memory_pools on
memory_pools_limit 100 MB
error_directory /usr/share/squid3/errors/Russian-1251





acl SSL_ports port 443 563 873
acl Safe_ports port 80 21 443 563 1025-65535



request_header_max_size 10 KB
request_body_max_size 1 MB
quick_abort_min 64 KB
quick_abort_max 64 KB
quick_abort_pct 90
negative_dns_ttl 5 minutes
range_offset_limit 0
maximum_object_size 20480 KB

acl profit2 src 10.42.0.2
http_access allow profit2

sudo  netstat -anltp | grep "LISTEN"

(Нажмите, чтобы показать/скрыть)

tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      1373/smbd       
tcp        0      0 127.0.1.1:53            0.0.0.0:*               LISTEN      11305/dnsmasq   
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      9625/dnsmasq   
tcp        0      0 192.168.1.128:53        0.0.0.0:*               LISTEN      9625/dnsmasq   
tcp        0      0 10.42.0.1:53            0.0.0.0:*               LISTEN      9468/dnsmasq   
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      1207/cupsd     
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      1373/smbd       
tcp6       0      0 :::139                  :::*                    LISTEN      1373/smbd       
tcp6       0      0 ::1:53                  :::*                    LISTEN      9625/dnsmasq   
tcp6       0      0 ::1:631                 :::*                    LISTEN      1207/cupsd     
tcp6       0      0 :::3128                 :::*                    LISTEN      15380/squid3   
tcp6       0      0 :::445                  :::*                    LISTEN      1373/smbd       

sudo cat /var/log/squid3/access.log | grep 10.42.0.2

(Нажмите, чтобы показать/скрыть)

1372520893.096      0 10.42.0.2 TCP_DENIED/403 4456 GET http://google.ru/ - NONE/- text/html
1372520893.481      0 10.42.0.2 TCP_DENIED/403 4128 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1372520893.574      0 10.42.0.2 TCP_DENIED/403 4088 GET http://google.ru/favicon.ico - NONE/- text/html

ЧЯДНТ?
Пользователь решил продолжить мысль 30 Июня 2013, 18:56:40:help

[fisher74]

Вы извините, но Вы какую-то кашу написали. Выражения

он соединен по eth0 с ПК №2, раздает ему интернет.
 
- все хорошо работает и кэшируется через squid

и

ПК №2 - работает локалка и раздаётся интернет с №1,

- через squid ничего не грузит, пишет в браузере "Доступ запрещен"

мозг просто выносят.
Так всё-таки, получает ПК№2 интернет через кальмар на ПК№1 или нет?

К конфигу кальмара тоже есть претензии: странная мнималистичость или Вы нам показали его не весь.
Можете показать командой

Код: [Выделить]

grep -v "^#\|^$" /etc/squid*/squid.conf
И чуть поподробней, как ПК№2 раздаёт локалке интернет.

[Pl7ofit]

fisher74,
ПК№2 не получает интернет через кальмара, кальмар сообщает что "Доступ запрещен"

Да,конфиг не весь, не хотел засорять топик ненужным, без этих опций проблема была такой же.

profit@profit-pc:~$ grep -v "^#\|^$" /etc/squid*/squid.conf

(Нажмите, чтобы показать/скрыть)

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .      0   20%   4320
visible_hostname profit-squid-server
icp_port 0
http_port 3128 intercept
cache_dir ufs /home/profit/.squid 4096 16 256
memory_pools on
memory_pools_limit 100 MB
error_directory /usr/share/squid3/errors/Russian-1251
acl SSL_ports port 443 563 873
acl Safe_ports port 80 21 443 563 1025-65535
request_header_max_size 10 KB
request_body_max_size 1 MB
quick_abort_min 64 KB
quick_abort_max 64 KB
quick_abort_pct 90
negative_dns_ttl 5 minutes
range_offset_limit 0
maximum_object_size 20480 KB
acl profit2 src 10.42.0.2
http_access allow profit2
acl nocache urlpath_regex cgi-bin user submit
no_cache deny nocache
refresh_pattern -i \.gif$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$   43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$  43200 100% 43200 override-lastmod override-expire

Раздает интернет ПК№1 и является кэширующим прокси сервером для ПК№2
Я не знаю как именно ПК1 раздает интернет, но я настраивал это через network-manager 

squid-server ПК1 - ip 10.42.0.1
squid-client ПК2 - ip 10.42.0.2
соединены они через eth0
ПК1 берет интернет через с ppp0

 
Пользователь решил продолжить мысль 02 Июля 2013, 03:05:42:fisher74, я когда это писал сонный был 

[fisher74]

строки описывающие правила для profit2 поднимите выше дефолтного правила
чтобы было примерно так:

Код: [Выделить]

....
acl profit2 src 10.42.0.2
http_access allow profit2
...
http_access deny all
...Пользователь решил продолжить мысль 02 Июля 2013, 09:29:44:

Пользователь решил продолжить мысль 02 Июля 2013, 03:05:42:fisher74, я когда это писал сонный был 

Ну давайте все будем сидеть сонными в форуме и нести околесицу.

[Pl7ofit]

fisher74, поднял правило выше всех - проблема осталась

[fisher74]

Ещё мне не нравится дублирование групп Safe_ports и SSL_ports
Конфиг squid-ом перечитывали после правки? В лог старта кальмара не смотрели, ничего подозрительного нет?
Версия squid какая?

Код: [Выделить]

squid3 -v | grep Version


[Pl7ofit]

fisher74,

убрал дублирование - проблема осталась
где посмотреть лог старта?
конфиг перечитывал
profit@profit-pc:~$ squid3 -v | grep Version
Squid Cache: Version 3.1.20

[fisher74]

очевидно здесь

Код: [Выделить]

sudo cat /var/log/squid3/cache.log
Покажите, пжлст, конфиг после правок.

[Pl7ofit]

 /etc/squid3/squid.conf

(Нажмите, чтобы показать/скрыть)

acl profit2 src 10.42.0.2
http_access allow profit2

visible_hostname profit-squid-server
icp_port 0
http_port 3128 intercept
cache_dir ufs /home/profit/.squid 4096 16 256
memory_pools on
memory_pools_limit 100 MB
error_directory /usr/share/squid3/errors/Russian-1251


acl Safe_ports port 80 21 443 563 873 1025-65535



request_header_max_size 10 KB
request_body_max_size 1 MB
quick_abort_min 64 KB
quick_abort_max 64 KB
quick_abort_pct 90
negative_dns_ttl 5 minutes
range_offset_limit 0
maximum_object_size 20480 KB




#acl all src 0.0.0.0/25
#http_access deny all


acl nocache urlpath_regex cgi-bin user submit
no_cache deny nocache


refresh_pattern -i \.gif$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$   43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$  43200 100% 43200 override-lastmod override-expire

profit@profit-pc:~$ sudo cat /var/log/squid3/cache.log

(Нажмите, чтобы показать/скрыть)

2013/07/03 19:36:16| Starting Squid Cache version 3.1.20 for x86_64-pc-linux-gnu...
2013/07/03 19:36:16| Process ID 13106
2013/07/03 19:36:16| With 65535 file descriptors available
2013/07/03 19:36:16| Initializing IP Cache...
2013/07/03 19:36:16| DNS Socket created at [::], FD 5
2013/07/03 19:36:16| DNS Socket created at 0.0.0.0, FD 6
2013/07/03 19:36:16| Adding nameserver 127.0.1.1 from /etc/resolv.conf
2013/07/03 19:36:16| Unlinkd pipe opened on FD 11
2013/07/03 19:36:16| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2013/07/03 19:36:16| Store logging disabled
2013/07/03 19:36:16| Swap maxSize 4194304 + 262144 KB, estimated 342803 objects
2013/07/03 19:36:16| Target number of buckets: 17140
2013/07/03 19:36:16| Using 32768 Store buckets
2013/07/03 19:36:16| Max Mem  size: 262144 KB
2013/07/03 19:36:16| Max Swap size: 4194304 KB
2013/07/03 19:36:16| Version 1 of swap file with LFS support detected...
2013/07/03 19:36:16| Rebuilding storage in /home/profit/.squid (DIRTY)
2013/07/03 19:36:16| Using Least Load store dir selection
2013/07/03 19:36:16| Set Current Directory to /var/spool/squid3
2013/07/03 19:36:16| Loaded Icons.
2013/07/03 19:36:16| Accepting  HTTP connections at [::]:3128, FD 14.
2013/07/03 19:36:16| commBind: Cannot bind socket FD 15 to 0.0.0.0:3128: (98) Address already in use
2013/07/03 19:36:16| HTCP Disabled.
2013/07/03 19:36:16| Squid plugin modules loaded: 0
2013/07/03 19:36:16| Adaptation support is off.
2013/07/03 19:36:16| Ready to serve requests.
2013/07/03 19:36:16| Store rebuilding is 25.09% complete
2013/07/03 19:36:16| Done reading /home/profit/.squid swaplog (16325 entries)
2013/07/03 19:36:16| Finished rebuilding storage from disk.
2013/07/03 19:36:16|     16309 Entries scanned
2013/07/03 19:36:16|         7 Invalid entries.
2013/07/03 19:36:16|         0 With invalid flags.
2013/07/03 19:36:16|     16300 Objects loaded.
2013/07/03 19:36:16|         0 Objects expired.
2013/07/03 19:36:16|         9 Objects cancelled.
2013/07/03 19:36:16|         0 Duplicate URLs purged.
2013/07/03 19:36:16|         0 Swapfile clashes avoided.
2013/07/03 19:36:16|   Took 0.05 seconds (329892.73 objects/sec).
2013/07/03 19:36:16| Beginning Validation Procedure
2013/07/03 19:36:16|   Completed Validation Procedure
2013/07/03 19:36:16|   Validated 32625 Entries
2013/07/03 19:36:16|   store_swap_size = 394088
2013/07/03 19:36:17| storeLateRelease: released 0 objects

[fisher74]

2013/07/03 19:36:16| commBind: Cannot bind socket FD 15 to 0.0.0.0:3128: (98) Address already in use

Предполагаю, что запущена 2 экземпляра кальмара и Вы попадаете на порт какого-то другого процесса.

Кстати, только сейчас обратил внимание

tcp6       0      0 :::3128                 :::*                    LISTEN      15380/squid3

Или это фича версии 3.1+ ? (вопрос, естественно, скорее не ТС)
Пользователь решил продолжить мысль 03 Июля 2013, 22:32:32:А конфиг Вы жестоко расчехвостили... Вы бы хоть для начала изучили назначение его параметров. А если уж не осилили, то испоьлзовалиб ы сначала коробочный вариант, а потом его подпиливали под себя.

[Pl7ofit]

fisher74,
squid запущен один
с минимальными параметрами проблема была такой же
на счет фичи не понял, он не должен слушать адрес ipv6?

[fisher74]

squid запущен один

Давайте проверим это

Код: [Выделить]

ps -eH | grep squid
 sudo  netstat -anltp | grep squid| grep LISTEN

на счет фичи не понял, он не должен слушать адрес ipv6?

Ну у меня на одном из шлюзов кальмар слушает исключительно ipv4

Код: [Выделить]

~$ sudo  netstat -anltp | grep squid| grep LISTEN
tcp        0      0 0.0.0.0:3128            0.0.0.0:*               LISTEN      20138/(squid)
~$ ps -eH | grep squid
 1364 ?        00:00:00   squid3
20138 ?        05:57:54     squid3

[Pl7ofit]

Код: [Выделить]

profit@profit-pc:~$ ps -eH | grep squid
 1518 ?        00:00:13   squid3
profit@profit-pc:~$  sudo  netstat -anltp | grep squid| grep LISTEN
[sudo] password for profit:
tcp6       0      0 :::3128                 :::*                    LISTEN      1518/squid3