SQUID 3.3.8 Запрещает доступ на сайты.

[Valery310]

Добрый вечер!Помогите, пожалуйста, решить проблему!=)
ОС Ubuntu 13.10
SQUID 3.3.8
В конфиге ацл с нужными ip из локалки имеются, а так же этот ацл разрешен в http_access.
Пытаюсь настроить прозрачный прокси и именно с этим проблемы! Если убрать в конфиге http_port 3128 intercept и оставить просто http_port 3128, а так же прописать адрес с портом прокси в браузере, то доступ разрешен и на сайты пускает. То же самое происходит и с transparent.
Уже четвертый день голову ломаю над проблемой.
Часть конфига.

(Нажмите, чтобы показать/скрыть)

acl localnet src 10.158.16.0/24 # Внутренняя сеть
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access deny all

http_port 3128 intercept

[djrust]

что описывает

Код: [Выделить]

http_access allow localhost manager?

Что в итоге получить хотите?

[Valery310]

Так было в дефолтном конфиге и судя по нему эта запись дает доступ к менеджеру кеша для локалхоста.
Вот что там написано:

(Нажмите, чтобы показать/скрыть)

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

Хочу разрешить доступ в интернет. Данная проблема не только с локалхостом, а еще и со всей внутренней сетью. Если вручную у всех настраивать прокси, то работает все отлично, а если через прозрачное проксирование пускать, то доступ сразу запрещен у всех.

[djrust]

весь конфиг кальмара в студию!

[Valery310]

(Нажмите, чтобы показать/скрыть)

acl localnet src 10.158.16.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access allow manager
http_access allow localhost
http_access allow localnet
http_access deny all
http_port 3128 transparent
coredump_dir /usr/local/squid/var/cache/squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .      0   20%   4320
cache_effective_user proxy
delay_pools 2
delay_class 1 2
delay_access 1 allow localnet
delay_access 1 allow localhost
delay_access 1 deny all
delay_parameters 1 250000/400000000 15750/100000000
cache_effective_group proxy

[djrust]

http_access allow localhost manager
http_access allow manager
http_access allow localhost

у вас нету acl для этих правил уберите вообще тогда....

а если через прозрачное проксирование пускать, то доступ сразу запрещен у всех.

он прям пишет,что доступ запрещен?или невозможно отобразить страницу?

делали перенаправление 80 порта на 3128?


вот цитата с гугла

Для того чтобы заработал прозрачный прокси у клиентов в настройках сетевой карты в поле Шлюз должен стоять ip-адрес этого прокси-сервера. Он у меня 192.168.8.3, а на сервере в iptables нужно настроить перенаправление запросов с 80-го порта на тот порт, который слушает squid. В моем случае это порт 8080. Он был указан в конфиге squid в параметре http_port 8080 transparent. Для этого нужно в терминале прописать следующие строки:
 

Код: [Выделить]

iptables -t nat -A PREROUTING -s 192.168.8.3 -p tcp --dport 80 -j ACCEPT
 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.8.3:8080
 iptables -t nat -A POSTROUTING -j MASQUERADE

[Valery310]

В конфиге написано, что ацл для этих правил писать не надо. И я пытался их добавить, но сквид тогда вообще запускаться не хотел.

Пишет что доступ запрещен.

Перенаправление делал.

[djrust]

странно
уберите и запустите

sudo squid3 -NCd1

будет видно где ошибка и чего не хватает!

[Valery310]

Вот, что выдает с перенаправлением при попытке зайти на сайт:

(Нажмите, чтобы показать/скрыть)

2014/03/11 10:08:58| WARNING: Forwarding loop detected for:
GET /index.php?topic=240179.0 HTTP/1.1
Host: forum.ubuntu.ru
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/32.0.1700.107 Chrome/32.0.1700.107 Safari/537.36
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: __utma=57986926.1612980410.1392622417.1392622417.1394169116.2; __utmc=57986926; __utmz=57986926.1394169116.2.2.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=(not%20provided); SMFCookie11=a%3A4%3A%7Bi%3A0%3Bs%3A6%3A%22145614%22%3Bi%3A1%3Bs%3A40%3A%22d2ca92d91b4f1370533a523c94ea3d4261dde9ab%22%3Bi%3A2%3Bi%3A1583385138%3Bi%3A3%3Bi%3A0%3B%7D; PHPSESSID=ihsfq6hlqdmfp6aoj93t6140p2; __utma=21754668.1883167156.1391753290.1394192151.1394516822.33; __utmb=21754668.1.10.1394516822; __utmc=21754668; __utmz=21754668.1394169353.27.27.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=(not%20provided)
If-Modified-Since: Tue, 11 Mar 2014 05:46:49 GMT
Via: 1.1 6269-s-prox (squid/3.3.
X-Forwarded-For: 10.158.16.200
Cache-Control: max-age=0
Connection: keep-alive

А вот, что при запуске без перенаправления:

(Нажмите, чтобы показать/скрыть)

2014/03/11 10:00:03| Process ID 4651
2014/03/11 10:00:03| Process Roles: master worker
2014/03/11 10:00:03| With 65536 file descriptors available
2014/03/11 10:00:03| Initializing IP Cache...
2014/03/11 10:00:03| DNS Socket created at [::], FD 5
2014/03/11 10:00:03| DNS Socket created at 0.0.0.0, FD 6
2014/03/11 10:00:03| Adding nameserver 127.0.1.1 from /etc/resolv.conf
2014/03/11 10:00:03| Logfile: opening log daemon:/var/log/squid3/access.log
2014/03/11 10:00:03| Logfile Daemon: opening log /var/log/squid3/access.log
2014/03/11 10:00:03| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/03/11 10:00:03| Store logging disabled
2014/03/11 10:00:03| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2014/03/11 10:00:03| Target number of buckets: 1008
2014/03/11 10:00:03| Using 8192 Store buckets
2014/03/11 10:00:03| Max Mem  size: 262144 KB
2014/03/11 10:00:03| Max Swap size: 0 KB
2014/03/11 10:00:03| Using Least Load store dir selection
2014/03/11 10:00:03| Set Current Directory to /usr/local/squid/var/cache/squid
2014/03/11 10:00:03| Loaded Icons.
2014/03/11 10:00:03| HTCP Disabled.
2014/03/11 10:00:03| commBind: Cannot bind socket FD 12 to [::1]: (99) Cannot assign requested address
2014/03/11 10:00:03| commBind: Cannot bind socket FD 13 to [::1]: (99) Cannot assign requested address
2014/03/11 10:00:03| ERROR: Failed to create helper child read FD: UDP[::1]
2014/03/11 10:00:03| Squid plugin modules loaded: 0
2014/03/11 10:00:03| Adaptation support is off.
2014/03/11 10:00:03| Accepting NAT intercepted HTTP Socket connections at local=0.0.0.0:3128 remote=[::] FD 9 flags=41

Пользователь решил продолжить мысль 11 Марта 2014, 10:36:17:Вот скрин ошибки.

[djrust]

а покажите resolv.conf
и sudo iptables-save

[Valery310]

resolf.conf тут я ничего не трогал.

(Нажмите, чтобы показать/скрыть)

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1

правила iptables:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.18 on Tue Mar 11 16:13:50 2014
*nat
:PREROUTING ACCEPT [4469:547146]
:INPUT ACCEPT [831:94027]
:OUTPUT ACCEPT [1510:113685]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 10.158.16.200/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.158.16.200:3128
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Tue Mar 11 16:13:50 2014
# Generated by iptables-save v1.4.18 on Tue Mar 11 16:13:50 2014
*mangle
:PREROUTING ACCEPT [31057:25186592]
:INPUT ACCEPT [27141:24699003]
:FORWARD ACCEPT [6:288]
:OUTPUT ACCEPT [23157:2469169]
:POSTROUTING ACCEPT [23871:2591124]
COMMIT
# Completed on Tue Mar 11 16:13:50 2014
# Generated by iptables-save v1.4.18 on Tue Mar 11 16:13:50 2014
*filter
:INPUT ACCEPT [27141:24699003]
:FORWARD ACCEPT [6:288]
:OUTPUT ACCEPT [23151:2468713]
COMMIT
# Completed on Tue Mar 11 16:13:50 2014
administrator@6269-s-prox:~$

[djrust]

nameserver 127.0.1.1

это точно так?
обычно 127.0.0.1

-A PREROUTING -s 10.158.16.200/32

-s 10.158.16.200/32

[Valery310]

Да, точно. Сам понять не могу почему там 127.0.1.1 

Пользователь решил продолжить мысль 11 Марта 2014, 16:38:40:

-A PREROUTING -s 10.158.16.200/32

-s 10.158.16.200/32

Я писал правила без указания маски. Задал заново правила так точно так же добавляется маска.

[AnrDaemon]

nameserver 127.0.1.1

это точно так?
обычно 127.0.0.1

Без разницы.

-A PREROUTING -s 10.158.16.200/32

-s 10.158.16.200/32

То же самое - без разницы. Если маска не указана, подразумевается /32, которую iptables-save честно вставляет в вывод.

[djrust]

Без разницы.

почитал...не прав...извиняюсь!

То же самое - без разницы. Если маска не указана, подразумевается /32, которую iptables-save честно вставляет в вывод.

будем знать спс...


ну у меня последняя мысль посмотреть логи squid3

/var/log/squid3