SQUID. DNS Timeout.

[thunderamur]

Сделал по статье

https://help.ubuntu.ru/wiki/sharing_internet#%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_squid

Код: [Выделить]

apt-get install squid dnsmasq
ipmasq - нет пакета. Наверное он не нужен, т.к. вроде для нат, а он итак нормально раздается.

В исходный конфиг внес следующие правки:

Код: [Выделить]

...
http_port 3128 #<<< раскомментировать эту строчку (уже была)
...
cache_dir ufs /var/spool/squid3 100 16 256 #<<< раскомментировать эту строчку
...
acl our_networks src 192.168.0.0/24 #<<< такой строчки не было, добавил в конец блока ACL
http_access allow our_networks #<<< добавил в начало блока HTTP_ACCESS
...
visible_hostname proxy.localdomain #<<< вписал proxy.dk
...

Код: [Выделить]

service squid3 restart
Настраиваю браузер на проксю. По IP ходит, по DN нет. Получаю DNS Timeout.

[fisher74]

Показываем выхлопы команд на шлюзе

Код: [Выделить]

nslookup ya.ru
nslookup ya.ru 8.8.8.8

[AnrDaemon]

nslookup ya.ru.
nslookup ya.ru. 8.8.8.8

[fisher74]

nslookup ya.ru.
...

AnrDaemon, точки лишние закатал.

[AnrDaemon]

fisher74, не лишние. Далеко не лишние.

[fisher74]

nslookup ya.ru.

Пусть небольшой оффтоп, но прошу пояснения её назначения.
И никакого сарказма

[AnrDaemon]

Точка в конце предотвращает попытки поиска имени добавлением текущих доменных суффиксов. Например, при ошибках разрешения имени.

Другими словами, указывает искать именно то, что мы ищем, а не что программе в голову взбредёт.

[fisher74]

Спасибо

[thunderamur]

Хм, вот оно что...
При установке dnsmasq в /etc/resov.conf

Код: [Выделить]

nameserver 127.0.0.1При удалении вернулись прописанные в /etc/network/interfaces dns-nameservers
Пользователь решил продолжить мысль 17 Апреля 2014, 07:21:23:Итак, прокся пошла.

Просто настроив браузеры на прокси, я на одном компе загрузил тяжелый сайт. Попробовал на другом загрузить - грузит по новой, не из кэша. Почему может быть так?

Попробовал добавить параметра transparent и завернуть

eth1 - инет.

Код: [Выделить]

iptables -t nat -F
iptables -t nat -A PREROUTING -i eth0 ! -d 192.168.1.0/24 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.1.200:3128
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source XXX

Я правильно сделал? Как проверить, что прокси работает?
Пользователь решил продолжить мысль 17 Апреля 2014, 11:27:28:Такс, ну судя потому, что сквид отжирает память потихоньку он работает.

Теперь к сабжу, выходит мне dnsmasq помешал? Мб в статье нужно об этом написать?

[AnrDaemon]

Ничего он не мешает... учите матчасть.

А по поводу кеширования... вы его вообще включали?

[thunderamur]

AnrDaemon,
dnsmasq для ретрансляции DNS, но при его установке система начинает искать DNS-сервер у себя, однако ничего не получает, хотя запросы клиентов разрешаются нормально.

Кэширование я не включал, оставил по максимуму в дефолте, но судя по тому, что сквид съел 400М на данный момент, чего-то он там кэширует. Дисковый кэш я немного опосля выключил нафиг.
Пользователь решил продолжить мысль 18 Апреля 2014, 04:27:54:Поискал инфу, настроил dnsmasq.conf

Код: [Выделить]

domain-needed
bogus-priv
no-resolv
no-poll
server=193.58.251.251
server=8.8.8.8
listen-address=127.0.0.1,192.168.1.200
рестарт сервиса, а адреса так и не резолвятся. Что я упускаю?

[AnrDaemon]

Значит, resolvconf неправильно настроил dnsmasq. Почему? Ищите. У меня и на нетбуке и на всех экспериментальных виртуалках, где я не поленился поставить resolvconf и провести тесты, всё работает.
Немного не так, как мне того хотелось бы, resolvconf игнорирует разницу между domain и search, но работает.

Что я упускаю?

Что в логах, в первую очередь? Сервис запущен? Через указанные адреса мимо сервиса имена ресолвятся?

[thunderamur]

192.168.1.200 - шлюз с DNS-сервером.
Вывод консоли со шлюза:

Код: [Выделить]

root@net-serv:/admin# nslookup ya.ru. 192.168.1.200
Server: 192.168.1.200
Address: 192.168.1.200#53

Non-authoritative answer:
Name: ya.ru
Address: 213.180.193.3
Name: ya.ru
Address: 93.158.134.3
Name: ya.ru
Address: 213.180.204.3

root@net-serv:/admin# nslookup ya.ru. 127.0.0.1
;; connection timed out; no servers could be reached

root@net-serv:/admin# grep -v "^$\|^#" /etc/dnsmasq.conf
domain-needed
bogus-priv
strict-order
no-resolv
no-poll
server=193.58.251.251
server=8.8.8.8
listen-address=127.0.0.1,192.168.1.200
Пользователь решил продолжить мысль 21 Апреля 2014, 08:22:43:Интересная петрушка. То, что приходит с адреса 192.168.1.200 попадает на dnsmasq, а то, что с 127.0.0.1 нет. Это видно по логу. Запрос на 127.0.0.1 вообще никак в логе не отражается.

Код: [Выделить]

root@net-serv:/var/log# cat /var/log/dnsmasq.log
Apr 21 14:17:12 dnsmasq[23949]: started, version 2.59 cachesize 150
Apr 21 14:17:12 dnsmasq[23949]: compile time options: IPv6 GNU-getopt DBus i18n DHCP TFTP conntrack IDN
Apr 21 14:17:12 dnsmasq[23949]: warning: ignoring resolv-file flag because no-resolv is set
Apr 21 14:17:12 dnsmasq[23949]: using nameserver 8.8.8.8#53
Apr 21 14:17:12 dnsmasq[23949]: using nameserver 193.58.251.251#53
Apr 21 14:17:12 dnsmasq[23949]: read /etc/hosts - 7 addresses
Apr 21 14:21:03 dnsmasq[23949]: query[A] ya.ru from 192.168.1.138
Apr 21 14:21:03 dnsmasq[23949]: forwarded ya.ru to 193.58.251.251
Apr 21 14:21:03 dnsmasq[23949]: reply ya.ru is 213.180.204.3
Apr 21 14:21:03 dnsmasq[23949]: reply ya.ru is 93.158.134.3
Apr 21 14:21:03 dnsmasq[23949]: reply ya.ru is 213.180.193.3


[AnrDaemon]

Это лог совсем других запросов.
Apr 21 14:21:03 dnsmasq[23949]: query[A] ya.ru from 192.168.1.138
А у вас, говорите, адрес .200.

[thunderamur]

AnrDaemon,
200 - шлюз
138 - клиент

Если на 200 делать запрос nslookup ya.ru. 192.168.1.200, то получаем то же самое как если сделать этот запрос на 138.
Если же на 200 делать запрос nslookup ya.ru. 127.0.0.1, то получаем таймаут.
Т.е. через 192.168.1.200 идет норм, а через 127.0.0.1 - облом.


З.Ы.: надо было выложить лог с 200, прости, что запутал.