Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 17, 2004, 13:03
Първо здравейте на всички!
Сега за проблема. На една машина е качен скуид. Настроен е и работи почти перфектно. Проблема е, че някои страници (www.avon.bg и go.icq.com (за други нямам информация засега)) не се отварят. Скуида дава Request time out. За avon.bg проблема се решава с верига iptables, но с go.icq.com не става, щото се редиректва към различни IP-та. Пробвах да задавам always_direct и never_direct опциите във всички възможни комбинации, но нещя да тръгне. Машината на която е качен скуида е рутер със Slackware 9. От браузъра като му задам ръчно проксито пак не работи. Засега го карам така, ама незнам кога някой клиент ще изреве.
Благодаря предварително.
Сега за проблема. На една машина е качен скуид. Настроен е и работи почти перфектно. Проблема е, че някои страници (www.avon.bg и go.icq.com (за други нямам информация засега)) не се отварят. Скуида дава Request time out. За avon.bg проблема се решава с верига iptables, но с go.icq.com не става, щото се редиректва към различни IP-та. Пробвах да задавам always_direct и never_direct опциите във всички възможни комбинации, но нещя да тръгне. Машината на която е качен скуида е рутер със Slackware 9. От браузъра като му задам ръчно проксито пак не работи. Засега го карам така, ама незнам кога някой клиент ще изреве.
Благодаря предварително.
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 17, 2004, 17:15
/usr/local/squid/sbin/squid -v
какво казва ?!?
При мен си работи перфектно.
Слак
какво казва ?!?
При мен си работи перфектно.
Слак
| Примерен код |
| root@gw:~# uname -a Linux gw 2.4.25 #4 Wed Mar 31 12:04:26 EEST 2004 i686 unknown unknown GNU/Linux root@gw:~# /usr/local/squid/sbin/squid -v Squid Cache: Version 2.5.STABLE5-20040419 configure options: -prefix=/usr/local/squid --enable-delay-pools .enable-linux-netfilter |
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 17, 2004, 19:34
| Цитат |
| root@newton:/usr/local/squid/sbin# ./squid -v Squid Cache: Version 2.5.STABLE5 configure options: root@newton:/usr/local/squid/sbin# uname -a Linux newton 2.4.20 #1 Sun Feb 16 17:38:46 EET 2003 i686 unknown |
Абе работи, ама нали ви казвам, някои сайтове не ги отваря. По логовете нищо не пише. Направо се побърквам.
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 09:18
| Цитат |
| root@gw:/tmp/squid-2.5.STABLE5-20040419# ./configure --help -------------8<---------------- --enable-linux-netfilter Enable Transparent Proxy support for Linux 2.4. -------------8<---------------- |
Титла: Проблем със SQUID transparent
Публикувано от: Ivan_storm в Aug 18, 2004, 13:31
Най вероятно и ти минаваш през някое прокси на доставчика си което те спира , така че се обърни към него.
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 13:41
Такаааа,
Значи първо аз съм доставчик и затова ми е проблем проксито. Второ проблема се реши чрез качване на скуид-а на друга машина. Но все пак интересното е, че от машината на която досега работеше скуид-а също не могат да бъдат отворени горепосочените сайтове. А това незнам как става. Значи от терминала пиша links www.avon.bg и не се случва нищо. Мисля че някъде в кернела или в конфигурациите нещо се е омазало яко. Някакви идеи?
Значи първо аз съм доставчик и затова ми е проблем проксито. Второ проблема се реши чрез качване на скуид-а на друга машина. Но все пак интересното е, че от машината на която досега работеше скуид-а също не могат да бъдат отворени горепосочените сайтове. А това незнам как става. Значи от терминала пиша links www.avon.bg и не се случва нищо. Мисля че някъде в кернела или в конфигурациите нещо се е омазало яко. Някакви идеи?
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 13:52
Haha ...
Да не си ми крал firewall-a?
аз там спирам една дузина боклуци като go.ICQ.com и т.н.
другия вариант е в скуид.конф да забраниш тези сайтове.
Аве ти да не си Алиса, Свредлов и не знам си още какво там ?
Да не си ми крал firewall-a?
аз там спирам една дузина боклуци като go.ICQ.com и т.н.
другия вариант е в скуид.конф да забраниш тези сайтове.
Аве ти да не си Алиса, Свредлов и не знам си още какво там ?
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 14:30
| Цитат (Uvigii @ Авг. 18 2004,14:52) |
| Haha ... Да не си ми крал firewall-a? аз там спирам една дузина боклуци като go.ICQ.com и т.н. другия вариант е в скуид.конф да забраниш тези сайтове. Аве ти да не си Алиса, Свредлов и не знам си още какво там ? |
Ха-ха, не-ха-ха това е положението. Проблема е, че не искам да ги забранявам, а изкам да ги разреша. И не съм крал нищо
.Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 17:07
| Цитат (Svredlov @ 18 2004) |
| Ха-ха, не-ха-ха това е положението. Проблема е, че не искам да ги забранявам, а изкам да ги разреша. И не съм крал нищо . |
Извинявай ако съм те обидил.
Ама папагалщината е тотална.
'Извинявай още веднъж!
Ала понякога самия въпрос те предразполага да дадеш цветущ отговор.
Можеше като за начало да дадеш скуид.конф, настройките на firewall-a(където най вероятно е проблема)... Все пак малко от участниците във форума си общуват с баба Ванга. + това силно се съмнявам, че ти е работил скуида без опцията --enable-linux-netfilter като прозрачно прокси! и т.н.
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 17:29
Работеше си нормално.
iptables -t nat -A PREROUTING -i eth1 -p tcp -s mojta_mreja -dport 80 -d !mojte_servers -j REDIRECT --to-port 3128
Обаче мани го скуида. Вече работи на друга машина и то без --enable-linux-netfilter. Ма я да видим защо на машината, където беше отначало, не искат да се зареждат тези страници. По между другото има още две опции за ./configure свързани с прозрачността. Днес го компилирах няколко пъти и пак нещеше. А и нещо важно. Не извършвам маскиране на адреси. Т.е. раздавам на клиентите си реални IP-та.
п.п. по-натам ще ти постна squid.conf. Само да му махна коментарите, че е сто хиляди реда.
iptables -t nat -A PREROUTING -i eth1 -p tcp -s mojta_mreja -dport 80 -d !mojte_servers -j REDIRECT --to-port 3128
Обаче мани го скуида. Вече работи на друга машина и то без --enable-linux-netfilter. Ма я да видим защо на машината, където беше отначало, не искат да се зареждат тези страници. По между другото има още две опции за ./configure свързани с прозрачността. Днес го компилирах няколко пъти и пак нещеше. А и нещо важно. Не извършвам маскиране на адреси. Т.е. раздавам на клиентите си реални IP-та.
п.п. по-натам ще ти постна squid.conf. Само да му махна коментарите, че е сто хиляди реда.
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 17:31
resolveip www.icq.com
resolveip login.icq.com
iptables -t nat -L -nv
iptables -t mangle -L -nv
iptables -t filter -L -nv
resolveip login.icq.com
iptables -t nat -L -nv
iptables -t mangle -L -nv
iptables -t filter -L -nv
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 17:43
| Примерен код |
| squid.conf http_port 0.0.0.0:3128 icp_port 3130 udp_incoming_address 0.0.0.0 udp_outgoing_address 255.255.255.255 icp_query_timeout 0 maximum_icp_query_timeout 2000 mcast_icp_query_timeout 2000 dead_peer_timeout 10 seconds hierarchy_stoplist cgi-bin hierarchy_stoplist ? cache_mem 134217728 bytes cache_swap_low 90 cache_swap_high 95 maximum_object_size 16777216 bytes minimum_object_size 0 bytes maximum_object_size_in_memory 8192 bytes ipcache_size 1024 ipcache_low 90 ipcache_high 95 fqdncache_size 1024 cache_replacement_policy lru memory_replacement_policy lru cache_dir ufs /cache 9216 16 256 cache_access_log /cache/logs/access.log cache_log /cache/logs/cache.log cache_store_log /cache/logs/store.log emulate_httpd_log off log_ip_on_direct on mime_table /usr/local/squid/etc/mime.conf log_mime_hdrs off pid_filename /usr/local/squid/var/logs/squid.pid debug_options ALL,1 log_fqdn off client_netmask 255.255.255.255 ftp_user Squid@ ftp_list_width 32 ftp_passive on ftp_sanitycheck on ftp_telnet_protocol on dns_retransmit_interval 5 seconds dns_timeout 120 seconds hosts_file /etc/hosts diskd_program /usr/local/squid/libexec/diskd unlinkd_program /usr/local/squid/libexec/unlinkd redirect_children 5 redirect_rewrites_host_header on authenticate_cache_garbage_interval 3600 seconds authenticate_ttl 3600 seconds authenticate_ip_ttl 0 seconds wais_relay_port 0 request_header_max_size 10240 bytes request_body_max_size 0 bytes refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 quick_abort_min 16 KB quick_abort_max 16 KB quick_abort_pct 95 negative_ttl 300 seconds positive_dns_ttl 21600 seconds negative_dns_ttl 60 seconds range_offset_limit 0 bytes forward_timeout 240 seconds connect_timeout 60 seconds peer_connect_timeout 30 seconds read_timeout 900 seconds request_timeout 300 seconds persistent_request_timeout 60 seconds client_lifetime 86400 seconds half_closed_clients on pconn_timeout 120 seconds ident_timeout 10 seconds shutdown_lifetime 30 seconds acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl gk_net dst 62.176.108.128/255.255.255.192 acl localhost src 127.0.0.1 acl localnet src 62.176.108.128/255.255.255.192 acl maimuni src 62.176.108.186 acl 10CONN maxconn 10 acl SSL_ports port 443 acl SSL_ports port 563 acl Safe_ports port 80 acl Safe_ports port 21 acl Safe_ports port 443 acl Safe_ports port 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl CONNECT method CONNECT http_access Deny 10CONN maimuni http_access Allow manager localhost http_access Deny manager http_access Deny !Safe_ports http_access Deny CONNECT !SSL_ports http_access Allow localnet http_access Deny all http_reply_access Allow all icp_access Allow all ident_lookup_access Deny all reply_body_max_size 0 Allow all cache_mgr admin@gk-net.com cache_effective_user nobody cache_effective_group nogroup announce_period 31536000 seconds announce_host tracker.ircache.net announce_port 3131 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_single_host off httpd_accel_with_proxy on httpd_accel_uses_host_header on dns_testnames netscape.com dns_testnames internic.net dns_testnames nlanr.net dns_testnames microsoft.com logfile_rotate 10 tcp_recv_bufsize 0 bytes err_html_text memory_pools on memory_pools_limit 0 bytes forwarded_for on log_icp_queries on icp_hit_stale off minimum_direct_hops 4 minimum_direct_rtt 400 cachemgr_passwd disable shutdown cachemgr_passwd none all store_avg_object_size 13 KB store_objects_per_bucket 20 client_db on netdb_low 900 netdb_high 1000 netdb_ping_period 300 seconds query_icmp off test_reachability off buffered_logs off reload_into_ims off icon_directory /usr/local/squid/share/icons short_icon_urls off error_directory /usr/local/squid/share/errors/Bulgarian maximum_single_addr_tries 1 snmp_port 3401 snmp_access Deny all snmp_incoming_address 0.0.0.0 snmp_outgoing_address 255.255.255.255 as_whois_server whois.ra.net wccp_router 0.0.0.0 wccp_version 4 wccp_incoming_address 0.0.0.0 wccp_outgoing_address 255.255.255.255 incoming_icp_average 6 incoming_http_average 4 incoming_dns_average 4 min_icp_poll_cnt 8 min_dns_poll_cnt 8 min_http_poll_cnt 8 max_open_disk_fds 0 offline_mode off uri_whitespace strip nonhierarchical_direct on prefer_direct off strip_query_terms on coredump_dir none redirector_bypass off ignore_unknown_nameservers on client_persistent_connections on server_persistent_connections on detect_broken_pconn off pipeline_prefetch off request_entities off high_response_time_warning 0 high_page_fault_warning 0 high_memory_warning 0 bytes store_dir_select_algorithm least-load ie_refresh on vary_ignore_expire off sleep_after_fork 0 |
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 17:47
И в трите таблици няма правила, отнасящи се до go.icq.com или www.avon.bg
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 17:55
resolveip www.icq.com
ping www.icq.com
traceroute www.icq.com
ping www.icq.com
traceroute www.icq.com
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 18:02
go.icq.com
root@newton:~# resolveip go.icq.com
IP address of go.icq.com is 205.188.248.25
IP address of go.icq.com is 64.12.164.153
И пинг върви и всичко, само че като се опитам да го отворя не става. От клиентски машини също се отваря. Само от тъпия gateway не ще.
root@newton:~# resolveip go.icq.com
IP address of go.icq.com is 205.188.248.25
IP address of go.icq.com is 64.12.164.153
И пинг върви и всичко, само че като се опитам да го отворя не става. От клиентски машини също се отваря. Само от тъпия gateway не ще.
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 18:06
route -n
ip rule show
ip route show table xxxxxxx
ip rule show
ip route show table xxxxxxx
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 18, 2004, 18:17
Нъцки, сичко си е както трябва. Пуснах и гейта през новия скуид - отваря си страничките. Направи ми впечатление, че когато прави http заявка номера на локалния tcp порт е много голям - над 35000. На другата машина е около 4000.
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 18, 2004, 18:32
Пробвай с това
tcptraceroute
tcptraceroute
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 19, 2004, 09:31
| Цитат |
| Направи ми впечатление, че когато прави http заявка номера на локалния tcp порт е много голям - над 35000. На другата машина е около 4000 |
виж
/proc/sys/net/ipv4/ip_local_port_range
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 19, 2004, 13:08
| Примерен код |
| 32768 61000 |
Обаче и на другата машина са така, пък върви?
Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 19, 2004, 13:16
| Цитат |
| 32768 61000 |
| Цитат |
| Обаче и на другата машина са така, пък върви? |
| Цитат |
| На другата машина е около 4000 |
Последно кое е вярното ?!
Пробва ли с
tcptraceroute go.icq.com 80
?
Титла: Проблем със SQUID transparent
Публикувано от: BRADATA в Aug 19, 2004, 13:28
Сега го свалям tcptraceroute. А за портовете съм се объркал. 4000 порт излиза от Виндовска машина 
. Но все пак защо се получава така?
. Но все пак защо се получава така?Титла: Проблем със SQUID transparent
Публикувано от: Uvigii в Aug 19, 2004, 16:08
Някой доставчици тук се правят на хитри и се опитват да дискриминириат потребителите с Линукс. За целта следят "Source port". Винбоз машините обикновенно ползват портове под 6000 (не съм сигурен точно колко), а от друга страна Линукс машините ползват над 30000 (а сега видях, че на моето сусе 9.1 са направени от 4-6 хиляди)
Титла: Проблем със SQUID transparent
Публикувано от: в Sep 02, 2004, 22:06
hah sega vijdam che i pri men e syshtoto
TCP_MISS/000 0 GET http://go.icq.com/ - NONE/- -
TCP_MISS/000 0 GET http://www.avon.bg/ - NONE/- -
v squida si e grijata
TCP_MISS/000 0 GET http://go.icq.com/ - NONE/- -
TCP_MISS/000 0 GET http://www.avon.bg/ - NONE/- -
v squida si e grijata
Титла: Проблем със SQUID transparent
Публикувано от: в Sep 02, 2004, 22:18
i v dvete stranichki ima home.jsp adsEnd.js
a i lainobubu.to ima meta refresh 0 ne moesh da go prekarash prez transparent
a i lainobubu.to ima meta refresh 0 ne moesh da go prekarash prez transparent
Титла: Проблем със SQUID transparent
Публикувано от: в Sep 04, 2004, 10:32
3-->| Цитат (BRADATA @ Авг. 17 2004,143) |
| Скуида дава Request time out. |
to se vijda v loga TCP_MISS/000 0 GET http://go.icq.com/ - NONE/- - che e timeout
nameri siteselect_timeout 2 second i go setni na primerno 20 i si otvarqi edna bira
Титла: Проблем със SQUID transparent
Публикувано от: в Sep 04, 2004, 15:29
bah sho prostotiq izponapisah do tuka ..prez celoto vreme sym si bachkal prez vpn a tam squid nema ta za tva mi se otvarqt 
pusnah si na moita shtaiga 2.5.STABLE6
TCP_MISS/504 1392 GET http://web.icq.com/ - NONE/- text/html
504 Gateway Timeout i se vijda akanoto ide ne ot squid a ot prydlivite im firewali na avon icq tcpdumpa si pokazva
ot moita mashina
205.188.248.25.http: SWE 3086113271:3086113271(0) win 5840 <mss 1460,sackOK,timestamp 668244 0,nop,wscale 0> (DF)
i windowskata mashina
205.188.248.25.http: S 10802208:10802208(0) win 8192 <mss 1460,nop,nop,sackOK> (DF)
205.188.248.25.http: . ack 3836523451 win 8472 (DF)
205.188.248.25.http: P 0:379(379) ack 1 win 8472 (DF)
i Uvigi izleze prav diskriminaciq malko ima tuka
cykni echo 0 >/proc/sys/net/ipv4/tcp_ecn i probvai trqa da stane
------
tiq glupusti nagore det sym pisal moje da gi zabyrshe maduratora
pusnah si na moita shtaiga 2.5.STABLE6
TCP_MISS/504 1392 GET http://web.icq.com/ - NONE/- text/html
504 Gateway Timeout i se vijda akanoto ide ne ot squid a ot prydlivite im firewali na avon icq tcpdumpa si pokazva
ot moita mashina
205.188.248.25.http: SWE 3086113271:3086113271(0) win 5840 <mss 1460,sackOK,timestamp 668244 0,nop,wscale 0> (DF)
i windowskata mashina
205.188.248.25.http: S 10802208:10802208(0) win 8192 <mss 1460,nop,nop,sackOK> (DF)
205.188.248.25.http: . ack 3836523451 win 8472 (DF)
205.188.248.25.http: P 0:379(379) ack 1 win 8472 (DF)
i Uvigi izleze prav
diskriminaciq malko ima tukacykni echo 0 >/proc/sys/net/ipv4/tcp_ecn i probvai trqa da stane
------
tiq glupusti nagore det sym pisal moje da gi zabyrshe maduratora