LINUX.ORG.RU
ФорумAdmin

Проблема со squid 5 на opensuse TW

 , , ,


0

1

Всем привет. После обновления Squid с 4.16 на 5 стала сыпаться в cache.log ошибка. Сам Squid после каждой ошибки перезапускается => кэш в памяти слетает ну и на компах во время перезагрузки Сквида пропадает интернет.Перерываю интернет с сентября и ничего похожего найти не могу. Сама OS стоит Opensuse Tumbleweed со всеми обновлениями. Откатывал Squid обратно на 4.16 и ошибка пропадала. Так и работал он с сентября, но вчера чёрт меня дернул проверить обновления. Сейчас 4.16 не ставится. Пытался откатывать на сентябрьский образ всю систему - именно сквид выдает ошибку и не работает нормально. Думал уже психануть и переустановить вообще всё, но жалко всё остальное настроенное да и должно быть решение, ведь ошибка одна и та же с выхода 5 версии, а уже 5.1.3 вышла. Значит перейду к самой проблеме.

Journalctl пишет вот так:

Nov 17 00:06:46 SAMBA squid[24999]: Squid Parent: squid-1 process 26772 exited with status 1
Nov 17 00:06:46 SAMBA squid[24999]: Squid Parent: (squid-1) process 27905 started
Nov 17 00:12:09 SAMBA squid[24999]: Squid Parent: squid-1 process 27905 exited with status 1
Nov 17 00:12:09 SAMBA squid[24999]: Squid Parent: (squid-1) process 28174 started

В cache.log вот такая ошибка:

2021/11/16 23:54:59 kid1| FATAL: check failed: opening() exception location: FwdState.cc(628) noteDestinationsEnd current master transaction: master2893

Появляется регулярно, но зависимость от чего-либо понять не могу.

Конфиг самого сквида с вырезанными refresh_pattern:


acl localhost src 192.168.2.11
acl localnet src 192.168.2.0/24
acl localnet src fe80::/10
acl localnet src ::1
acl localnet src fd00::/8             

acl SSL_ports port 443 563 1863 5190 5222 5050 6667 6001
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl bumpedPorts port 3128
acl SSL method CONNECT
acl CONNECT method CONNECT
## acl ads dstdom_regex "/etc/squid/ad_block.txt"
acl intermediate_fetching transaction_initiator certificate-fetching
## acl toblock dstdomain "/etc/squid/reklama.txt"

## http_access deny toblock
## http_access deny ads

## via off
## forwarded_for off

acl SSLERR ssl_error X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN SQUID_X509_V_ERR_DOMAIN_MISMATCH X509_V_ERR_CERT_HAS_EXPIRED


http_access allow intermediate_fetching


http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow CONNECT bumpedPorts
http_access deny manager
http_access allow localnet
http_access allow localhost
http_reply_access allow all
http_access deny all

tls_outgoing_options cafile=/etc/squid/bump.crt
tls_outgoing_options cafile=/etc/squid/bump.pem

tcp_outgoing_address fd00:6868:6868::11 localnet
tcp_outgoing_address 192.168.2.11 localnet

request_body_max_size 0 KB

icp_access allow localnet
icp_access deny all
access_log stdio:/var/log/squid/access.log


http_port 3128 tcpkeepalive=60,30,3 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=20MB tls-cert=/etc/squid/bump.crt tls-key=/etc/squid/bump.key cipher=HIGH:MEDIUM:EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS tls-dh=prime256v1:/etc/squid/bump_dhparam.pem

## tls_outgoing_options options=NO_SSLv3
tls_outgoing_options cipher=HIGH:MEDIUM:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS

dns_nameservers fd00:6868:6868::11 2607:9880:0:1f3:4dd1:a3:6d23:b0c1 2607:f798:18:10::640:7125:5204 2607:f798:18:10::640:7125:5198 2001:4860:4860::8888 2001:4860:4860::8844 72.141.150.216 192.168.0.1 216.185.64.6 8.8.8.8

## Leave coredumps in the first cache dir
coredump_dir /srv/squid

#
# Add any of your own refresh_pattern entries above these.

refresh_pattern ^ftp:                                                    1440    20%    10080

refresh_pattern ^gopher:                                                 1440     0%     1440

refresh_pattern -i  (/cgi-bin/|\?)                                          0     0%        0

refresh_pattern .                                                        1440     20%    4320  

refresh_pattern -i \.(html|htm)$                                         1440     40%    4320 

cache_dir ufs /srv/squid 25000 64 64

cache_effective_user squid

cache_log /var/log/squid/cache.log

memory_pools on

memory_pools_limit 150 MB

cache_mem 3072 MB

cache_mgr webmaster

cache_replacement_policy heap LFUDA

cache_store_log none

client_db off

cache_swap_high 95

cache_swap_low 90

client_lifetime 2 day

dns_timeout 3 seconds

connect_timeout 2 minutes
read_timeout 15 minutes
request_timeout 5 minutes

pinger_enable off
netdb_filename none
half_closed_clients off
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 95

client_idle_pconn_timeout 30 seconds
client_persistent_connections off
server_persistent_connections off

forward_max_tries 25 

error_directory /etc/squid/errors

ftp_passive on

maximum_object_size 10240 KB

maximum_object_size_in_memory 2048 KB

memory_replacement_policy heap LFUDA

minimum_object_size 10 KB

ipcache_size 80000
fqdncache_size 40000
ipcache_low 90
ipcache_high 95

sslcrtd_program /usr/libexec/squid/security_file_certgen -s /var/lib/squid/ssl_db -M 20MB


sslcrtd_children 32 startup=5 idle=1

acl ssl_step1 at_step SslBump1
acl ssl_step2 at_step SslBump2
acl ssl_step3 at_step SslBump3

ssl_bump stare ssl_step1
ssl_bump bump ssl_step2
ssl_bump terminate ssl_step3

## url_rewrite_program /usr/sbin/squidGuard -c /etc/squid/squidGuard.conf 
## url_rewrite_bypass off
## url_rewrite_children 16 startup=8 idle=4 concurrency=0

visible_hostname My.samba

Если подставить squid.conf который идет по умолчанию, то ошибки нет. Сертификат SSL пересоздавал, но ничего не поменялось. Со сквидом работаю с 3 версии и всегда сам разбирался, если появлялись ошибки. А тут бьюсь столько времени и никак. Куда копать? Кто поможет? Спасибо.



Последнее исправление: kreator (всего исправлений: 6)

Админы, поправьте, пожалуйста, как нужно. Чтобы было читабельно и по правилам форума.

врядли админы будут править это

https://www.linux.org.ru/help/markdown.md сам поправь это не сложно

мне хватает обычно : Блоки кода выделяются тремя апострофами(на клаве Ё) и используй предпросмотр.

alex_sim ★★★★
()
Последнее исправление: alex_sim (всего исправлений: 2)
Ответ на: комментарий от alex_sim

Спасибо за наводку. Писал сообщение в 3 часа ночи и как только эти апострофы не подставлял.. Не получалось. И через предпросмотр смотрел. Ничего не получалось. А сейчас получилось. Утро вечера мудренее. Сейчас хоть прочитать можно всю мою писанину.

kreator
() автор топика
Ответ на: комментарий от Pinkbyte

Точная версия 5.2-1.3-x86_64 Ну это прям точно что установлено. OpenSSL 1.1.1l - тоже последний. По Вашей ссылке обсуждение бага уже читал не один раз. Но сейчас натолкнуло на одну мысль. DNS у меня локальный. Сейчас в конфиге Сквида его отключу и посмотрю не результат.

kreator
() автор топика
Ответ на: комментарий от kreator

UPD. Отключение DNS не помогло. Ошибка продолжает сыпаться в лог и Сквид перезагружается. Ошибку выдает любой сайт. Хоть http хоть https.

kreator
() автор топика
Ответ на: комментарий от Pinkbyte

Отключаю полностью SSL Bump и нормально работает. Подозреваю, что проблема в OpenSSL. Описывали уже подобную ошибку в 2012 именно с Openssl. Но её описывали в Bugtrack и решения так и не вывели. Ошибка там была тоже с FwdState.cc. Похожая на мою, но не точно такая. Что с моей-то можно сделать? Осталось только с Debug Сквид запустить.

kreator
() автор топика

Роллинг на сервере? План надёжный как швейцарские часы :-).

pinus_nigra
()
Ответ на: комментарий от Pinkbyte

Да тоже уже так решил. Только не откатывается на рабочую версию. Вот так они сделали, что старые версии сразу удаляются с репов. Был один реп HISTORY, так 11 ноября его тоже зачистили. Версия Сквида сейчас доступна одна. Самая последняя. Короче, буду ночью полностью всю систему переустанавливать, отключать полностью обновления и сидеть на старой версии. Сентябрьский выпуск есть на диске. Ну и конфиги системы рабочие тоже сохранены. Обидно, блин, но другого выхода нет.

kreator
() автор топика
Ответ на: комментарий от kreator

Только не откатывается на рабочую версию. <...> Версия Сквида сейчас доступна одна. Самая последняя

Сборку из исходников и/или контейнеры уже отменили?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

А всяку хрень не пора отменить? Просто Поставить Зановово.

anonymous
()
Ответ на: комментарий от Pinkbyte

Нет. Не отменили. Но если я говорю, что доступна последняя, то именно это и значит. Значит предыдущие версии со всех репов удалены.И даже просто в интернете найти другую версию невозможно. Везде только последняя. Выдрал с сентябрьской версии Сквид 4.16 - конфликты сыпятся. Из исходников ставил сквид 6 (тестировочная пока версия) - тоже самое, т.е. конфликтует со всем, чем только можно.

kreator
() автор топика
Ответ на: комментарий от Pinkbyte

Без глупых WAT. Ну нету сквида 4.16. Везде только 5.2. Ну а вообще тему можно считать закрытой. Переустановил вчера всё на SSD на полностью чистую. Всё настроил и опять попробовал с диска сентябрьского взять 4.16 версию. Поставил без проблем. Пока полёт нормальный. А 5.2 опять выдавала эту FwdState.cc(628) noteDestinationsEnd.

kreator
() автор топика
Ответ на: комментарий от kreator

нету сквида 4.16

Ну значит меня глючит и вот этого архива с исходниками версии 4.16 не существует на официальном сайте

А если больше нет бинарных пакетов нужной версии под bleeding edge-версию твоего дистрибутива(чем Tumbleweed по сути и является) - то сорян, никто и не обещал что они там вечно лежать будут.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.