LINUX.ORG.RU
ФорумAdmin

Вопросы по Squid

 , ,


1

2

Вот здесь лежит мой конфиг кальмара https://cloud.mail.ru/public/LiBC/ZgX7Lkjow Проверяю работоспособность конфига для чистоты эспериментов на приватных вкладках (режим инкогнито).

Случай 1: Например, один клиент, до ввода фильтра черного списка в промышленную эксплуатацию, не стесняясь, смотрел видео на youtube и может быть на других видеохостингах, даже не подозревая о пуске фильтра... Вот я пустил фильтр, а этот клиент продолжал смотреть видео... Случайно обнаружил это посетив клиента. Почистил полностью кэш браузера и он перестал заходить на запрещенные сайты.

Вопрос 1: Как такое могло произойти? Куки помогли ему смотреть видео? Кальмар некэширующий.

Случай 2: Пользователю поставил компьютер помощнее, но сменил hostname клиента на прежний, т.е. на такой же что был на старом компьютере. Hostname клиента стоит в списке vip. Естественно DHCP-сервер присвоил ему другой IP-адрес (у нас все автоматом). Возможно, из-за смены IP-адреса этот клиент потерял привилегии vip-пользователя и уже не заходит на сайты в списке blackhttps, blackhttp. Такое и раньше было, но решалось очень быстро, н-р передергиванием ethernet-кабеля или отключением/включением сетевого подключения. Но на этот раз ничего не помогает, все vip-пользователи не открывают эти сайты, не помогли также перезапуски DHCP, Squid, DDNS BIND9, чистки их кэшей/зон, полностью перезагрузки шлюза...

Вопрос 2: В чем может быть проблема?



Последнее исправление: trancid (всего исправлений: 2)

По первому вопросу нужно было смотреть логи, какие url клиент загружал раньше и какие url пытается загрузить сейчас.

По второму. Если у вас

все vip-пользователи не открывают эти сайты

то как это вобще соотносится с

Пользователю поставил компьютер помощнее

раз проблемы у всех?

Советую погуглить про ″debug_options″, включить их на время и изучить по логу, почему не срабатывает как надо acl.

mky ★★★★★
()
Последнее исправление: mky (всего исправлений: 1)

не флейма ради, но можете ответить? зачем вообще кто-то сейчас использует сквид? это было актуально лет 20 назад, платный там трафик, узкий канал. но сейчас-то зачем? сайты запрещать, пользователи же не дети. кеширование тоже не виду смысла.

constin ★★★★
()
Ответ на: комментарий от mky

пасибки, пока не до фильтра... подозрение на сбой кальмара... на выходных попробую на виртуальной машине.

constin, клиентам надо работать, а не в соцсетях сидеть...)))

trancid
() автор топика
Ответ на: комментарий от mky

наверное после обновок пошли ошибки...

в логе /var/log/syslog пошли ошибки -

Mar 26 16:22:19 debian dhcpd: DHCPREQUEST for 192.168.1.156 from 30:85:a9:9f:27:7f (Hostname Unsuitable for Printing) via br0 Mar 26 16:22:19 debian dhcpd: DHCPACK on 192.168.1.156 to 30:85:a9:9f:27:7f (Hostname Unsuitable for Printing) via br0 Mar 26 16:22:19 debian dhcpd: Unable to add forward map from CM�.example.org to 192.168.1.156: SERVFAIL

Mar 26 16:49:00 debian dhcpd: DHCPREQUEST for 192.168.1.205 from 00:ff:9e:5d:e4:23 (buribai0) via br0 Mar 26 16:49:00 debian dhcpd: DHCPACK on 192.168.1.205 to 00:ff:9e:5d:e4:23 (buribai0) via br0 Mar 26 16:49:00 debian dhcpd: Unable to add forward map from buribai0.example.org to 192.168.1.205: SERVFAIL

Предполагаю, что сервер грохается просто того как встречает непонятное имя... и дальше не резолвит имена...

Млин выяснил что на один комп поставили имя «СМП»... Айпишник указывает на него.

trancid
() автор топика
Ответ на: комментарий от mky

была ошибка с синхронизацией номеров зон, но решилось удалением файлов зон. но после этого ошибки -

26-Mar-2017 23:36:36.241 general: error: zone example.org/IN: has no NS records 26-Mar-2017 23:36:36.241 general: error: zone example.org/IN: not loaded due to errors.

т.е. НЕ создаются файлы журналов для обеих зон... Как исправить подскажите пжлст, изменения прав на файлы/папки не помогло...

trancid
() автор топика
Ответ на: комментарий от mky

ураааааа!!!

проверил файлы зон, в прямой зоне почему-то исчез «NS debian.example.org.»

исправил, лог без ошибок, файлы журналов появились.

trancid
() автор топика
Ответ на: комментарий от trancid

Сомневаюсь, что кто-то кроме вас будет изучать ваш список блокировки и сравнивать его с URL, запрашиваемыми при просмотре видео с youtube. Если у вас есть логи squid'а, сравнивайте. Если логов нет, воспроизведите ситуацию на тестовой машине, включите логгирование в squid, сохраните логи и сравнивате их. Если ситуация не воспроизводится, то, и пофиг, потому что судя по вашим постам:

на один комп поставили имя «СМП»

была ошибка с синхронизацией номеров зон

исчез «NS debian.example.org.»

у вас всё время творится что-то странное.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.