Не работает прозрачный Squid 3.4.8 на Debian 8

0

2

Стоял до этого Debian 7 + Squid 3.1.20, решил обносить ОС до 8ки, конфиг старый рабочий теперь не пашет с параметрами прозрачности, пробовал всяко, последний вариант

http_port 192.168.168.1:3128 intercept
http_port 192.168.168.1:3129

*nat
-A PREROUTING -s 192.168.168.0/24 -i kvmbr0 -p tcp -m tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

сквид грузится на 100% и в логи бесконечно пишет такую хрень до безумных размеров лога

1489040362.072  29907 192.168.168.1 TCP_MISS/502 63490 GET http://www.odnoklassniki.ru/browserToolbarGetData? - ORIGINAL_DST/192.168.168.1 text/html
1489040362.072  29555 192.168.168.1 TCP_MISS/502 46875 GET http://ad.mail.ru/adi/5261 - ORIGINAL_DST/192.168.168.1 text/html
1489040362.077  23591 192.168.168.1 TCP_MISS/502 69134 GET http://swa.mail.ru/cgi-bin/counters - ORIGINAL_DST/192.168.168.1 text/html
1489040362.082  29914 192.168.168.1 TCP_MISS/502 63331 GET http://ad.mail.ru/adi/5263 - ORIGINAL_DST/192.168.168.1 text/html
1489040362.082  29917 192.168.168.1 TCP_MISS/502 63558 GET http://www.odnoklassniki.ru/browserToolbarGetData? - ORIGINAL_DST/192.168.168.1 text/html
1489040362.082  29566 192.168.168.1 TCP_MISS/502 46943 GET http://ad.mail.ru/adi/5261 - ORIGINAL_DST/192.168.168.1 text/html

2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47346 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47351 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47354 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47359 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47362 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47367 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47370 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47375 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47394 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47399 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47418 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47423 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47442 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47447 Idle client: Waiting for next request
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47466 Idle server: 192.168.168.1:3128/ad.mail.ru
2017/03/09 14:19:36 kid1| Open FD READ/WRITE 47471 Idle client: Waiting for next request

Ссылка

←	Сброс пароля на Juniper-е (доступ к внутярм, в т.ч. к CF-карте есть)

Потребление памяти rsyslog'ом

→

Правило ACCEPT для сервера с проксей есть?

Radjah ★★★★★
(09.03.17 09:38:38 MSK)

Ответ на: комментарий от Radjah 09.03.17 09:38:38 MSK

да конечно, правила никакие не менял, конфиги все старые

*filter
:INPUT DROP [38:5331]
:FORWARD DROP [12432:833328]
:OUTPUT ACCEPT [10181876:22405086301]
.............
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.168.0/24 -i kvmbr0 -j ACCEPT
..............

wolverin ★★★
(09.03.17 09:43:40 MSK) автор топика

Ответ на: комментарий от wolverin 09.03.17 09:43:40 MSK

Я к тому, что там циклического редиректа нет случаем? squid это дело обычно определяет, но мало ли.

Еще попробуй прописать вместо intercept так:

http_port 3128 accel vhost allow-direct

Radjah ★★★★★
(09.03.17 10:08:48 MSK)

Ответ на: комментарий от Radjah 09.03.17 10:08:48 MSK

попробовал

1489044083.010     69 192.168.168.10 TCP_MISS/302 258 GET http://update.sbis.ru/updates/update_ver24.lst - HIER_DIRECT/91.213.144.23 -
1489044083.846    740 192.168.168.10 TCP_MISS/200 3362 GET http://update3.sbis.ru/updates/update_ver24.lst - HIER_DIRECT/188.254.71.178 text/plain
1489044084.439   7680 192.168.168.14 TCP_MISS/502 3699 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 text/html
1489044087.503    500 192.168.168.14 TCP_MISS/301 241 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 -
1489044090.288    218 192.168.168.14 TCP_MISS/502 3699 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 text/html
1489044093.356    508 192.168.168.14 TCP_MISS/301 241 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 -
1489044096.228    297 192.168.168.14 TCP_MISS/301 241 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 -
1489044096.752      0 192.168.168.133 TAG_NONE/405 3323 CONNECT error:method-not-allowed - HIER_NONE/- text/html
1489044097.893      0 192.168.168.133 TAG_NONE/405 3323 CONNECT error:method-not-allowed - HIER_NONE/- text/html
1489044099.094    307 192.168.168.14 TCP_MISS/301 241 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 -
1489044101.586     67 192.168.168.10 TCP_MISS/302 253 GET http://update.sbis.ru/updates/240_243.ini - HIER_DIRECT/91.213.144.23 -
1489044101.803    135 192.168.168.14 TCP_MISS/200 480 GET http://swa.mail.ru/cgi-bin/counters? - HIER_DIRECT/217.69.139.62 application/json
1489044101.945    234 192.168.168.10 TCP_MISS/200 545 GET http://update2.sbis.ru/updates/240_243.ini - HIER_DIRECT/94.25.1.54 text/plain
1489044101.947    291 192.168.168.14 TCP_MISS/301 241 GET http://g.ceipmsn.com/8SE/411? - HIER_DIRECT/131.253.40.10 -

2017/03/09 15:20:54 kid1| WARNING: CONNECT method received on http Accelerator port 3128
2017/03/09 15:20:54 kid1| WARNING: for request: CONNECT 89-trouter-cus-a.drip.trouter.io:443 HTTP/1.1
Host: 89-trouter-cus-a.drip.trouter.io:443


2017/03/09 15:20:54 kid1| WARNING: CONNECT method received on http Accelerator port 3128
2017/03/09 15:20:54 kid1| WARNING: for request: CONNECT 157.55.130.175:443 HTTP/1.0
Proxy-Connection: keep-alive


2017/03/09 15:20:55 kid1| WARNING: CONNECT method received on http Accelerator port 3128
2017/03/09 15:20:55 kid1| WARNING: for request: CONNECT mobile.pipe.aria.microsoft.com:443 HTTP/1.0
User-Agent: WinINet HttpStack/18
Host: mobile.pipe.aria.microsoft.com:443
Content-Length: 0
Proxy-Connection: Keep-Alive
Pragma: no-cache


2017/03/09 15:20:59 kid1| WARNING: CONNECT method received on http Accelerator port 3128
2017/03/09 15:20:59 kid1| WARNING: for request: CONNECT mobile.pipe.aria.microsoft.com:443 HTTP/1.0
User-Agent: WinINet HttpStack/18
Host: mobile.pipe.aria.microsoft.com:443
Content-Length: 0
Proxy-Connection: Keep-Alive
Pragma: no-cache

wolverin ★★★
(09.03.17 10:21:56 MSK) автор топика

Ответ на: комментарий от wolverin 09.03.17 10:21:56 MSK

перевернул текст местами и проблема исчезла О_о

http_port 3128
http_port 192.168.168.1:3129 intercept

следует уточнить что у меня 3128 пользуется и как прозрачный порт и как явно указанная прокся, пришлось таблесы переделать на 3129, в чем глубокий смысл сей переделки не понял, где то в примерах предлагаемый код у меня тоже не работал

http_port 3128
http_port 127.0.0.1:3128 intercept

wolverin ★★★
(09.03.17 12:05:27 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сброс пароля на Juniper-е (доступ к внутярм, в т.ч. к CF-карте есть)

Admin

Потребление памяти rsyslog'ом

→

Похожие темы