Добрый день! В процессе перехода в FreeBSD 10 на CentOS 6.8 системы фильтрации контента РКН возникла следующая проблема: При активном соединении WCCP, при попытке входа на сайт размещающийся на том же IP , что и заблокированный SQUID в логе возвращает 503 ошибку. На FreeBSD при этом все работает замечательно.
24/Mar/2017 15:44:16 63067 <клиентский адрес> TCP_MISS/503 3735 GET http://pki.google.com/GIAG2.crl - HIER_DIRECT/173.194.44.65 text/html
24/Mar/2017 15:44:17 63053 <другой клиентский адрес> TCP_MISS/503 3744 GET http://system.in-appstore.com/freedom/version.txt - HIER_DIRECT/104.31.66.179 text/html
24/Mar/2017 15:44:17 63052 <еще один клиентский адрес> TCP_MISS/503 4330 GET http://d.myscore.ru/x/feed/tx_AoGZz7kF_YBwji1fj - HIER_DIRECT/188.92.40.78 text/html
С клиентского компьютера это выглядит как заглушка SQUID с 110 ошибкой (Connection Timeout). Редирект на заглушку( в случае входа на действительно заблокированный ресурс) происходит корректно с 200 кодом.
SQUID собран вот так:
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--enable-linux-netfilter' '--enable-linux-tproxy' '--enable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-ssl' '--with-openssl=/usr/local' '--enable-ssl-crtd' '--enable-htcp' '--disable-forw-via-db' '--disable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--disable-eui' '--disable-ipfw-transparent' '--disable-pf-transparent' '--disable-ipf-transparent' '--disable-follow-x-forwarded-for' '--disable-ecap' '--disable-icap-client' '--disable-esi' '--with-large-files' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--enable-ltdl-convenience'
RPFilter на всех интерфейсах в нуле. Forwarding на всех интерфейсах в единице.
Ниже конфиг Iptables:
Таблица NAT:
Chain PREROUTING (policy ACCEPT 214 packets, 21057 bytes)
pkts bytes target prot opt in out source destination
5826 364K REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
986 54753 REDIRECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 redir ports 3129
Chain POSTROUTING (policy ACCEPT 4918 packets, 278K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4918 packets, 278K bytes)
pkts bytes target prot opt in out source destination
Таблица Filter:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
24457 3171K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 31576 packets, 1295K bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 40399 packets, 11M bytes)
pkts bytes target prot opt in out source destination
Таблица Mangle пустая.
Конфиг SQUID:
debug_options ALL,1 88,2
cache_effective_user squsr
cache_effective_group squsr
http_port 9090
http_port 3128 transparent
pid_filename /var/run/squid.pid
https_port 3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/squidCA.pem
ssl_bump client-first all
sslproxy_cert_error deny all
#ssl_bump server-first all
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/log/squid/ssl_db -M 4MB
always_direct allow all
connect_timeout 5 minutes
request_timeout 5 minutes
#never_direct allow all
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
cache deny all
#cache deny QUERY
acl apache rep_header Server ^Apache
cache_mem 0 KB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 1 KB
maximum_object_size_in_memory 1 KB
cache_replacement_policy heap LRU
cache_dir ufs /var/log/squid/cache 20000 16 256
logformat squid %{%d/%b/%Y %H:%M:%S}tl %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt
access_log stdio:/var/log/squid/access.log squid
logfile_rotate 16
dns_nameservers <адреса наших днс>
hosts_file /etc/hosts
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#added 26.01.17
shutdown_lifetime 2
#
quick_abort_min 0 KB
quick_abort_max 0 KB
half_closed_clients off
acl test src 127.0.0.1
acl test src 172.16.10.2
acl test src 192.168.1.0/24
acl test src <тут наши клиентские публичные адреса>/19
http_access allow test
#acl manager proto cache_object
acl purge method PURGE
acl CONNECT method CONNECT
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 443 # https
acl Safe_ports port 1025-65535 # unregistered ports
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
memory_pools off
log_icp_queries off
cachemgr_passwd q1w2e3r4 all
client_db off
buffered_logs on
wccp2_router 172.16.10.2
wccp2_forwarding_method 2
wccp2_return_method 2
wccp2_assignment_method 2
wccp2_service dynamic 0
wccp2_service_info 0 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=80
#wccp2_service dynamic 70
#wccp2_service_info 70 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=443
wccp2_address 172.16.10.1
redirect_program /usr/local/etc/squid/redirector.pl
url_rewrite_children 105 startup=5 idle=1 concurrency=0
url_rewrite_host_header off
Подскажите куда копать, чтобы исправить подобное. Заранее благодарю.