LINUX.ORG.RU
ФорумAdmin

Squid + IE + roseltorg.ru

 


0

1

Всем привет. Есть прокси сервер Squid 3.0. Пользователи винды ходят в инет через связку Squid+samba+kerberos.

Выявилась очень странная вещь с сайтом etp.roseltorg.ru Данный сайт прекрасно грузится через firefox, chrome и тд. При этом в access.log вижу следующее:

1383041678.029      0 10.178.32.21 TCP_DENIED/407 3085 GET http://etp.roseltorg.ru/ - NONE/- text/htmls5000-px01:~/.mc/cedit

Стоит мне зайти через IE, пробовал 8,9,10 IE, как от сайта загружается лишь html код, css, javascript остается за бортом. При этом в логе я наблюдаю, как все эти файлы отвергаются.

Точнее отвергались, было много строчек вида:

 0 10.178.32.21 TCP_DENIED/407 3085 GET http://etp.roseltorg.ru/{имя файла, будь то js или css}

В момент написания топика уже не наблюдаю этой кучи строчек с отказом, НО, сам вид сайта так и остался голым html.

Нагуглил, что может не хватать аутентификаций пользователям, менял параметр количества, не помогло. Добавлял .roseltorg.ru в список разрешенных, прописывал отдельное правило, не помогает. Я не понимаю, куда копать.

В линуксе я довольно нубоват, в сквиде, соответственно тоже. Необходимость его администрирования появилась на работе.

В какую сторону нужно копать?


UPD: Накопал такую инфу: Следут прописать директиву ignore_expect_100 on источник: http://jskyworker.blogspot.ru/2011/06/squid-3-none417-post.html На что мне Парсер Конфига бодро отвечает :

 parseConfigFile: 'squid.conf' line 5026 unrecognized: 'ignore_expect_100 on'

Сайт Squid-cashe.org сообщает, что данная директива Available in: 2.7 3.1 Неужели придется обновляться на новую версию (мне страшно это делать, так как я никогда этого не делал), причем не имея уверенности, что данная директива вообще поможет.

makc9I ()

как вариант: уменьшить в браузере количество одновременных соединений

PaulAS ()
Ответ на: комментарий от makc9I

Ничего страшного нет. По-умолчанию squid из исходников собирается в /usr/local/squid, а идущий в составе дистрибутива раскидан по каталогам согласно FHS: бинарники в /usr/bin, изменяемые в /var/cache и т. д. Таким образом, ты можешь спокойно собрать себе новый сквид, перенести в него конфиги от старого, поправив пути и добавив ignore_expect_100, остановить старый и попробовать новый. Если покатит - убирай старый из автозапуска, добавляй новый и радуйся жизни :) Разумеется, если ты не совсем уверен в том, что делаешь, перед любыми потенциально опасными действиями машину надо забекапить.

Будут вопросы по сборке - пиши. Стоит запустить идущий в составе дистрибутива squid -v и посмотреть, как его собирали мантейнеры.

selivan ★★★ ()
Последнее исправление: selivan (всего исправлений: 1 )
Ответ на: комментарий от makc9I

Changes in 3.1 ignore_expect_100

    Ported from 2.7. Requires --enable-http-violations
Prevents 417 errors being sent to broken HTTP/1.1 non-compliant clients.

Так что скорей всего нужно пересобрать с доп. опцией.

vel ★★★★★ ()
Ответ на: комментарий от selivan

Мое общение с линуксом ограничивается 4мя месяцами работы в конторе как админа прокси сервера после того, как предыдущий админ покинул это место. Сквид был уже настроен, все работало. Он мне дал информацию о том, куда вносить новых юзеров с разными типами доступа, показал что и как править в конфиге, в общем наделил базовыми знаниями. Ну сам я еще чуточку узнал в процессе, но это капля в море. Обновлять сквид видимо надо, но очень очкую, не хватало еще, чтобы инет упал у всей организации (~500 юзеров). Прошу помощи в этом нелегком деле :) Как я понял, можно собрать новую версию сквида параллельно, и он никак не нарушит работу старого?

Стоит запустить идущий в составе дистрибутива squid -v и посмотреть, как его собирали мантейнеры.

Squid Cache: Version 3.0.STABLE1
configure options: '--prefix=/usr' '--sysconfdir=/etc/squid' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--localstatedir=/var' '--libexecdir=/usr/sbin' '--datadir=/usr/share/squid' '--libdir=/usr/lib64' '--with-dl' '--sharedstatedir=/var/squid' '--enable-storeio=aufs,coss,diskd,null,ufs' '--enable-disk-io=AIO,Blocking,DiskDaemon,DiskThreads' '--enable-removal-policies=heap,lru' '--enable-icmp' '--enable-delay-pools' '--enable-esi' '--enable-icap-client' '--enable-useragent-log' '--enable-referer-log' '--enable-kill-parent-hack' '--enable-snmp' '--enable-arp-acl' '--enable-htcp' '--enable-ssl' '--enable-forw-via-db' '--enable-cache-digests' '--enable-poll' '--enable-linux-netfilter' '--enable-large-files' '--enable-underscores' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=DB,LDAP,MSNT,NCSA,PAM,POP3,SASL,SMB,YP,getpwnam,multi-domain-NTLM,squid_radius_auth' '--enable-ntlm-auth-helpers=SMB,no_check,fakeauth' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-digest-auth-helpers=eDirectory,ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-ntlm-fail-open' '--enable-stacktraces' '--enable-x-accelerator-vary' '--with-default-user=squid' 'CFLAGS=-fmessage-length=0 -D_FORTIFY_SOURCE=2 -O2 -fPIE -fPIC -fno-strict-aliasing' 'CXXFLAGS=-fmessage-length=0 -D_FORTIFY_SOURCE=2 -O2 -fPIC -fno-strict-aliasing' 'LDFLAGS=-pie'

makc9I ()
Ответ на: комментарий от makc9I

Мое общение с линуксом ограничивается 4мя месяцами работы

Главное отличие линкса от винды, которое сразу стоит понять -это другой подход к взаимодействию с пользователем: от понимания - к действию. То есть вслепую копипастить команды из интернета не прокатит, надо понимать, что происходит. Learning Curve тяжелее, но отладка и сопровождение системы в итоге легче. Подробнее тут: http://www.intuit.ru/studies/courses/22/22/info - первые три лекции.

Чтобы не бояться обновлять - предварительно забекапь машину. Самый простой вариант для неопытного - подоткнуть ещё один диск и клонировать на него систему с помощью Clonezilla - это такой LiveCD.

squid -v нужно запускать, чтобы узнать, какие опции стоит использщовать при сборке своего squid. Читаешь что нибудь по сборке программ в Linux - например http://help.ubuntu.ru/wiki/programs_installation, ну и google://«сборка программ в Linux». Потом - доки по сборке squid, там всё тривиально. Скачиваешь, ставишь заголовочные файлы нужных для сборки библиотек, собираешь, пробуешь. С первого раза может не собраться - скорее всего будет не хватать заголовочных файлов - в выводе всё будет написано, ставишь какие надо. Запускаешь. Не прокатило - откатываешься на бекап.

З.Ы. Если думаешь не тратить время на освоение Unix, а просто узнать и скопипастить пару нужных команд - не мучайся, ничего не выйдет. В этом случае лучше продолжать использовать уже знакомую винду, тот же squid под ней работает, не знаю правда насколько хорошо, или какой-нибудь WinGate купить можно.

selivan ★★★ ()
Последнее исправление: selivan (всего исправлений: 2 )
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.