SQUID 3.3.8 Запрещает доступ на сайты.

[Valery310]

Может это просто баг сквида?

[AnrDaemon]

Хотите дожить до моих лет и получать зарплату, ничего не делая?
В первую очередь предполагайте, что неправы вы, а не кто-то другой. Всё станет намного проще.

[Valery310]

Access.log

(Нажмите, чтобы показать/скрыть)

1394628515.027      0 127.0.0.1 TCP_MISS/403 2854 GET http://habrahabr.ru/post/130335/ - HIER_NONE/- text/html
1394628515.027     67 127.0.0.1 TCP_MISS/403 2958 GET http://habrahabr.ru/post/130335/ - HIER_DIRECT/127.0.0.1 text/html
1394628515.031      0 127.0.0.1 TCP_MISS/403 3347 GET https://forum.ubuntu.ru/index.php? - HIER_NONE/- text/html
1394628515.031     71 127.0.0.1 TCP_MISS/403 3451 GET https://forum.ubuntu.ru/index.php? - HIER_DIRECT/127.0.0.1 text/html

Пользователь решил продолжить мысль 12 Марта 2014, 17:17:32:AnrDaemon, ну может тогда предположите где я ошибся? Для этого я тему то и создал.

Пользователь решил продолжить мысль 12 Марта 2014, 17:40:48:Cache.log

(Нажмите, чтобы показать/скрыть)

2014/03/12 17:34:58 kid1| Squid Cache (Version 3.3.8): Exiting normally.
2014/03/12 17:35:16 kid1| Starting Squid Cache version 3.3.8 for x86_64-pc-linux-gnu...
2014/03/12 17:35:16 kid1| Process ID 7665
2014/03/12 17:35:16 kid1| Process Roles: worker
2014/03/12 17:35:16 kid1| With 65536 file descriptors available
2014/03/12 17:35:16 kid1| Initializing IP Cache...
2014/03/12 17:35:16 kid1| DNS Socket created at [::], FD 8
2014/03/12 17:35:16 kid1| DNS Socket created at 0.0.0.0, FD 9
2014/03/12 17:35:16 kid1| Adding nameserver 127.0.1.1 from /etc/resolv.conf
2014/03/12 17:35:16 kid1| Logfile: opening log daemon:/var/log/squid3/access.log
2014/03/12 17:35:16 kid1| Logfile Daemon: opening log /var/log/squid3/access.log
2014/03/12 17:35:16 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/03/12 17:35:16 kid1| Store logging disabled
2014/03/12 17:35:16 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2014/03/12 17:35:16 kid1| Target number of buckets: 1008
2014/03/12 17:35:16 kid1| Using 8192 Store buckets
2014/03/12 17:35:16 kid1| Max Mem  size: 262144 KB
2014/03/12 17:35:16 kid1| Max Swap size: 0 KB
2014/03/12 17:35:16 kid1| Using Least Load store dir selection
2014/03/12 17:35:16 kid1| Set Current Directory to /usr/local/squid/var/cache/squid
2014/03/12 17:35:16 kid1| Loaded Icons.
2014/03/12 17:35:16 kid1| HTCP Disabled.
2014/03/12 17:35:16 kid1| commBind: Cannot bind socket FD 14 to [::1]: (99) Cannot assign requested address
2014/03/12 17:35:16 kid1| commBind: Cannot bind socket FD 15 to [::1]: (99) Cannot assign requested address
2014/03/12 17:35:16 kid1| ERROR: Failed to create helper child read FD: UDP[::1]
2014/03/12 17:35:16 kid1| Squid plugin modules loaded: 0
2014/03/12 17:35:16 kid1| Adaptation support is off.
2014/03/12 17:35:16 kid1| Accepting NAT intercepted HTTP Socket connections at local=0.0.0.0:3128 remote=[::] FD 12 flags=41
2014/03/12 17:35:16 kid1| Accepting HTTP Socket connections at local=[::]:3129 remote=[::] FD 13 flags=9
2014/03/12 17:35:17 kid1| storeLateRelease: released 0 objects
2014/03/12 17:35:21 kid1| WARNING: Forwarding loop detected for:
POST /misc.php?action=fancy_alerts_update_status HTTP/1.1
Host: linuxforum.ru
Content-Length: 0
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://linuxforum.ru
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.146 Safari/537.36
Referer: http://linuxforum.ru/viewtopic.php?id=34120
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: PHPSESSID=2id6fbn0p71hdv2v7ifncknir3
Via: 1.1 6269-s-prox (squid/3.3.8)
X-Forwarded-For: 127.0.0.1
Cache-Control: max-age=0
Connection: keep-alive

[AnrDaemon]

Valery310, каб я знал. Кальмаром не пользуюсь. Но зная о нём кое-что, я легко представляю проблему в ваших описаниях ACL.

[djrust]

Valery310,
время будет разверну ваш конфиг на вирт машинах....скажу может где ошибка

[insiki]

https://google.ru открывается?

на сервере и на клиенте
nslookup ya.ru

здесь подобную проблему обсуждали https://forum.ubuntu.ru/index.php?topic=239262.0
возможно поможет

[djrust]

поднял проверил...

ubuntu server 10.04.04
Squid Cache: Version 3.0.STABLE19
eth0 инет

Код: [Выделить]

192.168.100.150
255.255.255.0
192.168.100.1
eth1 локалка

Код: [Выделить]

192.168.10.254
255.255.255.0

Код: [Выделить]

sudo iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.10.254:3128
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
squid.conf

Код: [Выделить]

acl localnet src 192.168.10.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access deny all
http_port 3128 transparent
coredump_dir /etc/squid3
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .      0   20%   4320
cache_effective_user proxy
http_port 3128 transparent
delay_pools 2
delay_class 1 2
delay_access 1 allow localnet
delay_access 1 deny all
delay_parameters 1 250000/400000000 15750/100000000
cache_effective_group proxy

все робит без пролем....
единственное,я dns не поднимал.....НО по ip ходит без проблем ошибок нету! Если ставить галку использовать прокси по dns начинает бегать

Если меняю
acl localnet src 192.168.10.0/24
на acl localnet src 192.168.11.0/24

получаю отлуп Access Denied.

Делаем вывод что все Хокей


Так что выкладывайте настройки сети вашей(
cat /etc/network/interfaces
cat /etc/squid3/squid.conf

...и настройки клиента....ipconfig -all

[Valery310]

Гугл открывается, и nslookup ya.ru прекрасно работают на сервере и клиенте.

(Нажмите, чтобы показать/скрыть)

nslookup ya.ru
Server:      127.0.1.1
Address:   127.0.1.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 213.180.204.3

interfaces:

(Нажмите, чтобы показать/скрыть)

# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo eth0
iface lo inet loopback

# The primary network interface     

# The secondary network interface

Ничего не менял так как в настройках сети после перезагрузки было написано, что устройства не контролируются.
А конфигурацию сквида еще раз зачем? Тот конфиг, что я скидывал уже и есть вся конфигурация, но без закомментированных строк.

вывод команды ifconfig:

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 00:50:ba:56:f6:69 
          inet addr:10.158.16.200  Bcast:10.158.16.255  Mask:255.255.255.0
          inet6 addr: fe80::250:baff:fe56:f669/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:152 (152.0 B)  TX bytes:5936 (5.9 KB)

eth1      Link encap:Ethernet  HWaddr 00:25:11:0e:3d:7d 
          inet addr:192.168.100.77  Bcast:192.168.100.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23667 errors:0 dropped:22 overruns:0 frame:0
          TX packets:14889 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:32896952 (32.8 MB)  TX bytes:1239290 (1.2 MB)
          Interrupt:20 Память:feac0000-feae0000

lo        Link encap:Локальная петля (Loopback) 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:944 errors:0 dropped:0 overruns:0 frame:0
          TX packets:944 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:166324 (166.3 KB)  TX bytes:166324 (166.3 KB)

интерфейс eth0 - локальная сеть.
интерфейс eth1 - интернет.

Клиентские компьютеры получают настройки сети по dhcp.
DHCP:

(Нажмите, чтобы показать/скрыть)

#
ddns-update-style none;
option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
default-lease-time 600;
max-lease-time 7200;
subnet 10.158.16.0 netmask 255.255.255.0 {
   range 10.158.16.201 10.158.16.249;
   option routers 10.158.16.200;
   option domain-name-servers 10.158.16.200;
   }

Да и в инет то клиенты ходят если прокси не прозрачный.
Если удалить надпись transparent и указать вручную у клиентской машины прокси-сервер, то доступ разрешается, но нужен именно прозрачный прокси.

[djrust]

затем что я вам сказал...что конфигурации не правильный.....уберите лишние не описанные хттп ассес(хотя бы для красоты)....

[AnrDaemon]

(Нажмите, чтобы показать/скрыть)

Что лишний раз доказывает постулат о том, что красота спасёт мир!

[Valery310]

Хорошо, но только ради красоты! Я раньше это пытался делать и из за нулевого результата вернул как было.

[djrust]

 

Я раньше это пытался делать и из за нулевого результата вернул как было

Его и не должно быть.....т.к лишнее
Пользователь решил продолжить мысль 13 Марта 2014, 20:53:47:
попробуйте привести interfaces к таком виду

Код: [Выделить]

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth1
iface eth1 inet static
address 192.168.100.77
netmask 255.255.255.0
gateway 192.168.100.IP

auto eth0
iface eth0 inet static
address 10.158.16.200
netmask 255.255.255.0
sudo /etc/init.d/networking restart
или
sudo service networking restart

[AnrDaemon]

вообщето
ifdown <интерфейс>; ifup <интерфейс>

"networking restart" мало того, что делает совсем не то, что вам нужно, он ещё делает много того, чего вам НЕ нужно.

[djrust]

"networking restart" мало того, что делает совсем не то, что вам нужно, он ещё делает много того, чего вам НЕ нужно.

поясните тогда,чем в данном случше лучше ifdown и ifup

[AnrDaemon]

Что именно вам пояснять? Что команда "networking restart" уже лет восемь как считается несусветной глупостью? Что в некоторых дистрибутивах при попытке её использовать пользователя посылают мало не матом?