LINUX.ORG.RU
ФорумAdmin

Просто не работает squid

 ,


0

1

Гуру, помогите! Уже не знаю в чем проблема может быть...
iptables на проксе выключено
Скриншот того,что видно в IP сканере
squid.conf

http_port 192.168.5.129:8080
connect_timeout 20 seconds
shutdown_lifetime 1 seconds
cache_mem 128 MB
maximum_object_size_in_memory 32 MB
log_mime_hdrs on
access_log /var/log/squid/access.log squid
cache_dir ufs /var/squid/cache/ 500 16 256
# Локальная сеть
acl localnet src 192.168.5.0/24
acl localnet src 192.168.220.0/27
http_access allow localnet
visible_hostname CTX

cat /var/log/sauid/cache.log

[...]
2014/03/07 00:10:06 kid1| Reconfiguring Squid Cache (version 3.2.13)...
2014/03/07 00:10:06 kid1| Closing HTTP port 192.168.5.129:8080
2014/03/07 00:10:06 kid1| Logfile: closing log stdio:/var/log/squid/access.log
2014/03/07 00:10:06 kid1| Startup: Initializing Authentication Schemes ...
2014/03/07 00:10:06 kid1| Startup: Initialized Authentication Scheme 'basic'
2014/03/07 00:10:06 kid1| Startup: Initialized Authentication Scheme 'digest'
2014/03/07 00:10:06 kid1| Startup: Initialized Authentication Scheme 'negotiate'
2014/03/07 00:10:06 kid1| Startup: Initialized Authentication Scheme 'ntlm'
2014/03/07 00:10:06 kid1| Startup: Initialized Authentication.
2014/03/07 00:10:06 kid1| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2014/03/07 00:10:06 kid1| Initializing https proxy context
2014/03/07 00:10:06 kid1| Logfile: opening log /var/log/squid/access.log
2014/03/07 00:10:06 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/log/squid/access.log'
2014/03/07 00:10:06 kid1| Squid plugin modules loaded: 0
2014/03/07 00:10:06 kid1| Adaptation support is off.
2014/03/07 00:10:06 kid1| Store logging disabled
2014/03/07 00:10:06 kid1| DNS Socket created at [::], FD 8
2014/03/07 00:10:06 kid1| DNS Socket created at 0.0.0.0, FD 9
2014/03/07 00:10:06 kid1| Adding nameserver 192.168.5.254 from /etc/resolv.conf
2014/03/07 00:10:06 kid1| HTCP Disabled.
2014/03/07 00:10:06 kid1| Loaded Icons.
2014/03/07 00:10:06 kid1| Accepting HTTP Socket connections at local=192.168.5.129:8080 remote=[::] FD 11 flags=9

ls -l /var/log/squid

total 1196
-rwxrwx---. 1 squid squid       0 Mar  3 04:52 access.log
-rwxrwx---. 1 squid squid 1215022 Mar  7 00:10 cache.log
-rwxrwx---  1 root  root     1186 Mar  5 17:37 squid.out

ifconfig

em1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.5.129  netmask 255.255.255.0  broadcast 192.168.5.255
        inet6 fe80::216:e6ff:fe54:6a21  prefixlen 64  scopeid 0x20<link>
        ether 00:16:e6:54:6a:21  txqueuelen 1000  (Ethernet)
        RX packets 3404610  bytes 710995131 (678.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42444  bytes 41593592 (39.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 0  (Local Loopback)
        RX packets 5  bytes 412 (412.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 5  bytes 412 (412.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

p1p1: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 00:1e:58:a8:18:77  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vlan99: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 10.0.99.128  netmask 255.255.255.240  broadcast 10.0.99.143
        ether 00:1e:58:a8:18:77  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vlan102: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.102.112  netmask 255.255.255.240  broadcast 192.168.102.126
        ether 00:1e:58:a8:18:77  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vlan220: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.220.0  netmask 255.255.255.224  broadcast 192.168.220.31
        ether 00:1e:58:a8:18:77  txqueuelen 0  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

netstat -anp | grep 8080
tcp        0      0 192.168.5.129:8080      0.0.0.0:*               LISTEN      2296/(squid-1)



Последнее исправление: skarkerov (всего исправлений: 1)

Как минимум для каждой сети своё правило:

acl localnet1 src 192.168.5.0/24
acl localnet2 src 192.168.220.0/27
http_access allow localnet1
http_access allow localnet2

kostik87 ★★★★★
()
Ответ на: комментарий от skarkerov
acl localnet src 192.168.5.0/24
acl localnet src 192.168.220.0/27

Текущий вариант неправильный, второй командой ты переопределяешь зону localnet и правилом

http_access allow localnet
ты разрешаешь доступ к squid только сети 192.168.220.0/27.

kostik87 ★★★★★
()
Ответ на: комментарий от skarkerov
ls -l /var/log/squid

total 1196
-rwxrwx---. 1 squid squid       0 Mar  3 04:52 access.log
-rwxrwx---. 1 squid squid 1215022 Mar  7 00:10 cache.log
-rwxrwx---  1 root  root     1186 Mar  5 17:37 squid.out
skarkerov
() автор топика

От лога сквида будет куда больше толку, если в нем будет видно, что происходит при обращении к нему браузера. У вас, насколько я понял, видно в логе только старт сквида.

iptables на проксе выключено

Это как? Модули выгружены? Покажите вывод

iptables -vnL

Про конфиг коллега вам правильно сказал: нужно привести его в непротиворечивый вид, это первое дело в отладке проблемы.

pianolender ★★★
()
Ответ на: комментарий от skarkerov

Забыл указать, что access.log пустой

А ты http прокси в браузере настроил?

По идее, если даже сквид не пускает в инет, то в акцесс.лог все равно что-нибудь будет. А у тебя до сквида дело не доходит.

anto215 ★★
()
Ответ на: комментарий от skarkerov

Исходя из пустого access.log и отсутствия установленных соединений, у тебя клиенты к сквиду не коннектятся, то есть либо они не настроены, либо файрвол у тебя все же включен. Проверяй. И не надо говорить, что файрвол отключен - просто покажи iptables-save

no-dashi ★★★★★
()
Ответ на: комментарий от skarkerov

Зачем в таком случае вы указываете

http_port 192.168.5.129:8080
а затем прописываете правило для сети 192.168.220.0/27?

Укажите просто порт 8080.

http_port 8080
connect_timeout 20 seconds
shutdown_lifetime 1 seconds
cache_mem 128 MB
maximum_object_size_in_memory 32 MB
log_mime_hdrs on
access_log /var/log/squid/access.log squid
cache_dir aufs /var/cache/squid 1024 16 256
maximum_object_size 40960 KB
coredump_dir /var/cache/squid
acl CONNECT method CONNECT
acl localhost src 127.0.0.1/32 ::1
http_access allow localhost
visible_hostname CTX
kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от anto215

2anto215, конечно не доходит. Я в первом сообщении приложил ссылку на скриншот, на котором видно что из сети 192.168.5.0\24 при сканировании видно, что на 192.168.5.129 порт 8080 закрыт.

На счет firewall'a: выполнил iptables -vnL. Результат слишком большой, мб отдельная секция что-то подскажет?

skarkerov
() автор топика
Ответ на: комментарий от kostik87

2kostik87, Ваш конфиг вообще вот что выдает:

[root@co-ws044 ~]# squid -k reconfigure
2014/03/07 01:29:09| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2014/03/07 01:29:09| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2014/03/07 01:29:09| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2014/03/07 01:29:09| WARNING: (B) '127.0.0.1' is a subnetwork of (A) '127.0.0.1'
2014/03/07 01:29:09| WARNING: because of this '127.0.0.1' is ignored to keep splay tree searching predictable
2014/03/07 01:29:09| WARNING: You should probably remove '127.0.0.1' from the ACL named 'localhost'
2014/03/07 01:29:09| WARNING: (B) '::1' is a subnetwork of (A) '::1'
2014/03/07 01:29:09| WARNING: because of this '::1' is ignored to keep splay tree searching predictable
2014/03/07 01:29:09| WARNING: You should probably remove '::1' from the ACL named 'localhost'
2014/03/07 01:29:09| WARNING: (B) '::1' is a subnetwork of (A) '::1'
2014/03/07 01:29:09| WARNING: because of this '::1' is ignored to keep splay tree searching predictable
2014/03/07 01:29:09| WARNING: You should probably remove '::1' from the ACL named 'localhost'

skarkerov
() автор топика
Ответ на: комментарий от skarkerov

У меня работает. Ну уберите localhost, пропишите ваши acl`ы

acl localnet1 src 192.168.5.0/24
acl localnet2 src 192.168.220.0/27
http_access allow localnet1
http_access allow localnet2

kostik87 ★★★★★
()
Ответ на: комментарий от skarkerov

На paste.org.ru можно целиком залить, а сюда запостить ссылку.

Если там много чего - это навевает мысли о том, что он отнюдь не отключен..

pianolender ★★★
()
Ответ на: комментарий от kostik87

Там может быть policy ACCEPT, а в конце REJECT --reject-with icmp-host-unreachable, как-то так в центосе 6 было по умолчанию..

pianolender ★★★
()
Ответ на: комментарий от kostik87
#iptables -vnL | grep policy
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Chain OUTPUT (policy ACCEPT 979 packets, 116K bytes)

2kostik87, я пробовал такой формат сразу как Вы сказал об этом: ни фига.

skarkerov
() автор топика
Ответ на: комментарий от skarkerov

Ну вот, в INPUT ничего не проходило. Варианты:

1. Проходило в другие правила (значит, они все-таки есть) 2. Вы не так настроили браузер (он не прислал ни одного пакета на прокси-сервер). Хотя чтобы вообще ни одного пакета на машину не пришло с момента ее старта - это очень подозрительно..

pianolender ★★★
()
Ответ на: комментарий от skarkerov

В двух словах: файрвол все-таки включен. Нужно разбираться с его настройкой.

Настройка вашего файрвола похожа на результат работы генератора правил, либо на результат работы кого-то сильно замороченного. Кто настраивал этот файрвол? Может быть, стоит попросить этого человека дать доступ к сквиду?

pianolender ★★★
()
Ответ на: комментарий от skarkerov

На счет firewall'a: выполнил iptables -vnL.

Ну вот в нём у тебя и проблема. А то всё «файрвол отключе, фарвол отключен»... :ROFL:

no-dashi ★★★★★
()
Ответ на: комментарий от skarkerov

Истинный путь - это настроить файрвол, а не отключить:3

pianolender ★★★
()
Ответ на: комментарий от pianolender

У него в тегах записано «fedora», и федора только что поставленная, то есть скорее всего текущий релиз. Это элементарно, Ватсон!

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Точно. Я среди тегов просто ищу свои, чтобы понять, как именно тред меня нашел.

pianolender ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.