LINUX.ORG.RU
ФорумAdmin

Странность, при настройке squid3


0

1

squid 3.1.19 Ubuntu-Server 12.04.3. Переношу прокси на этот сервер. Авторизация ntlm через winbind. Убил кучу времени, пока настроил. Строки, которые так много отняли время выделил жирным подчеркнутым. В таком варианте все работает. А если строчка находится в том месте, где закоментировано и подчеркнуто, то сквид просто падает и сразу перезапускается при обращении к любой страничке в инете. Ну и выходит, что странички отображаются совершенно криво. Хотелось бы понять причину такого поведения. Настройки полностью перенесены с уже давно работающего прокси, на котором строка http_access deny blockedusers находится в том месте конфига, где тут она закоментирована. (В blockeduserv вносятся те, кто привысил месячный лимит самописаным биллингом). Ну и так, может по конфигу какие замечания будут. Особенно по поводу значения children 50 во всех трех местах. Пользователей инета примерно 500.

в /var/log/kern.log сквид на каждый запрос в инет, при падении и перезапуске сквид выдавал такое 

Sep 17 12:58:13 proxy kernel: [ 3312.630563] squid3[16474]: segfault at 0 i
p           (null) sp 00007fffe6247188 error 14
Sep 17 12:58:14 proxy kernel: [ 3313.855988] squid3[16675]: segfault at 0 i
p 00007fc6c0f00216 sp 00007fff61936280 error 4 in libstdc++.so.6.0.16[7fc6c0e4c0
00+e2000]



auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
authenticate_ttl 20 minutes

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group ttl=10 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl https_ports port 443 8000 8420 5222 3000 1935 5443 4443
acl safe_ports port 80 81 85 1000 1935 3000 5435 8000 8080 8081 8100 8101 8136 8585 8889 9091 35261 9443 5080
acl ftp_ports port 21 20
acl ibank_ports port 80 443 8443 9080 9091 9443 1024-65535

acl CONNECT method CONNECT


acl blockedusers proxy_auth «/etc/squid3/group/blockedusers»
acl temp_block external nt_group DOMAIN\\TempBlocked-gr
acl gods_ip src «/etc/squid3/group/gods_ip»
acl bed_ip src «/etc/squid3/group/bed_ip»
acl gods external nt_group DOMAIN\GodsUsers-gr
acl avir proxy_auth «/etc/squid3/group/avir»
acl internetusers external nt_group DOMAIN\\InternetUsers-gr

acl icqusers external nt_group DOMAIN\\IcqUsers-gr
acl microsoft-gr external nt_group DOMAIN\\Microsoft-gr
acl exclusion-gr external nt_group DOMAIN\\exclusion-gr
acl mailecxeption-gr external nt_group DOMAIN\\Mailecxeption-gr
acl httpsusers external nt_group DOMAIN\\HttpsUsers-gr
acl arjusers external nt_group DOMAIN\\ArjUsers-gr
acl mediausers external nt_group DOMAIN\\MediaUsers-gr
acl execusers external nt_group DOMAIN\\ExecUsers-gr
acl bankusers external nt_group DOMAIN\\BankUsers-gr
acl hhsearch external nt_group DOMAIN\\HH-Search-gr

acl DOMAINGR proxy_auth REQUIRED
acl bedmailurl url_regex -i «/etc/squid3/url/bedmailurl»
acl socblockurl url_regex -i «/etc/squid3/url/socblockurl»
acl bannersurl url_regex -i «/etc/squid3/url/bannersurl»
acl bankurl url_regex -i «/etc/squid3/url/bankurl»
acl avirurl url_regex -i «/etc/squid3/url/avirurl»
acl icqurl url_regex -i «/etc/squid3/url/icqurl»
acl microsofturl url_regex -i «/etc/squid3/url/microsofturl»
acl exclusionurl url_regex -i «/etc/squid3/url/exclusionurl»
acl mailecxeptionurl url_regex -i «/etc/squid3/url/mailecxeptionurl»
acl arjurl url_regex -i «/etc/squid3/url/arjurl»
acl hhsearchurl url_regex -i «/etc/squid3/url/hhsearchurl»
acl mediaurl url_regex -i «/etc/squid3/url/mediaurl»
acl execurl url_regex -i «/etc/squid3/url/execurl»
acl blockedurl url_regex -i «/etc/squid3/url/blockedurl»
acl ecxeptionurl url_regex -i «/etc/squid3/url/ecxeptionurl»
acl httpsurl url_regex -i «/etc/squid3/url/httpsurl»
acl ibank_dst dst xx.xx.xx.xx/32 

 

http_access deny blockedusers
deny_info ERR_QUOTA blockedusers

 

http_access deny bed_ip
deny_info ERR_BED_IP bed_ip
http_access allow gods_ip CONNECT
http_access allow gods_ip
http_access allow gods CONNECT DOMAINGR
http_access allow gods !temp_block !blockedusers  DOMAINGR

http_access allow bankusers bankurl ibank_ports CONNECT DOMAINGR
http_access allow bankusers bankurl ibank_ports DOMAINGR
http_access allow hhsearch hhsearchurl ibank_ports DOMAINGR

 

#http_access deny blockedusers
#deny_info ERR_QUOTA blockedusers

 


http_access deny temp_block
deny_info ERR_TEMP temp_block

 

#http_access deny blockedusers
#deny_info ERR_QUOTA blockedusers

 

http_access deny bedmailurl
deny_info http://192.168.5.2/ERR_SOC.html bedmailurl


http_access allow internetusers ecxeptionurl safe_ports DOMAINGR
http_access deny socblockurl
deny_info http://192.168.5.2/ERR_SOC.html socblockurl
http_access allow icqusers icqurl CONNECT https_ports DOMAINGR
http_access allow httpsusers CONNECT https_ports DOMAINGR
http_access allow internetusers httpsurl CONNECT https_ports DOMAINGR
http_access deny internetusers CONNECT
http_access allow microsoft-gr microsofturl DOMAINGR
http_access allow exclusion-gr exclusionurl DOMAINGR
http_access allow arjusers !socblockurl !blockedurl !bannersurl !execurl !mediaurl safe_ports DOMAINGR
http_access allow mediausers !socblockurl !blockedurl !bannersurl !arjurl !execurl safe_ports DOMAINGR
http_access allow execusers !socblockurl !blockedurl !bannersurl !arjurl !mediaurl safe_ports DOMAINGR
http_access allow internetusers ecxeptionurl safe_ports DOMAINGR

http_access allow internetusers !blockedurl !bannersurl !arjurl !execurl !mediaurl safe_ports DOMAINGR

http_access allow avir avirurl DOMAINGR
http_access deny !internetusers
http_access deny !Safe_ports
http_access deny all
icp_access deny all

htcp_access deny all

http_port 192.168.5.7:3128

hierarchy_stoplist cgi-bin ?

cache_mem 32 MB

cache_dir ufs /var/spool/squid3/ 10240 16 256

maximum_object_size 10240 KB

access_log /var/log/squid3/access.log squid

cache_store_log none

ftp_user Squid@

ftp_list_width 64

ftp_passive on


refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern (cgi-bin|\?)	0	0%	0
refresh_pattern .		0	20%	43200

quick_abort_min 50 KB
quick_abort_max 50 KB
quick_abort_pct 95

negative_ttl 1 minutes

request_timeout 3 minutes

client_lifetime 8 hours

shutdown_lifetime 10 seconds

cache_effective_user proxy

cache_effective_group proxy

icp_port 3130

error_directory /usr/share/squid3/errors/ru/

dns_nameservers 192.168.5.2 
memory_pools off

coredump_dir /var/spool/squid3/
★★★

По мне сегфолт в программе это ошибка, а не особенность поведения. Если у вас самый последний squid из репозитария (3.1.19-1ubuntu3.12.04.2), то, нужно оформлять баг, вроде по адресу bugs.launchpad.net/ubuntu , а не искать ошибки в конфиге.

P.S. Конфиг прочитал по диагонали.

mky ★★★★★
()
Ответ на: комментарий от mky

да, сквид из респозитария (squid3_3.1.19-1ubuntu3.12.04.2_amd64). Знать бы еще как оформлять баги. Ладно, попробую, может получится.

deys ★★★
() автор топика

да, children должно быть больше, чем пользователей

fbiagent ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin