LINUX.ORG.RU
ФорумAdmin

глюки Squid


0

1

Версия Сквида 3.1.12, настроен непрозрачно. Работает вроде нормально. Но бывает временами отваливается. У клиентов в локалки пропадает инет. Если быть точней, то почемуто Сквид переходит в прозрачный режим. Рестартим /etc/rc.d/rc.squid restart и бац, сквид опять работает нормально (непрозрачно). Вот конфиг

###
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.1.0/24 # Диапазон адресов нашей локальной сети
#acl localnet src 192.168.1.1-192.168.1.23 # Диапазон адресов нашей локальной сети
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl ftpproto proto ftp      # Доступ к прокси через ftp протокол
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
#################################################################################
# Разрешить только cachemgr доступ с локального хоста
http_access allow manager localhost
http_access deny manager
# Запретить запросы к некоторым небезопасным портам
http_access deny !Safe_ports
# Запрещем доступ к другим отличных от SSL безопасн порты
http_access deny CONNECT !SSL_ports
# Позволить доступ к Squid из нашей локалки
http_access allow localnet
# Позволить доступ к Squid, нашему локальному хосту
http_access allow localhost
# Запрещаем доступ всей локалки по ftp протоколу
http_access deny localnet ftpproto
# Всем остальным доступ к проксисерверу запрещаем
http_access deny all
###############################################################################
# Позволить ICP запросы только от локальных сетей
icp_access allow localnet
# Остальные ICP запросы запрещаем
icp_access deny all
htcp_access allow localnet
htcp_access deny all
# Делаем наш Squid прозрачным
http_port 192.168.1.1:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/cache/squid/ 256 16 256
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
pid_filename /var/run/squid/squid.pid
client_netmask 255.255.255.255
cache_log /var/log/squid/cache.log
coredump_dir /var/log/squid/cache
#
# Делаем редирект к программе rejik, чтобы вырезать рекламные банеры
url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
#
### Установим свежесть объектов, для разных файлов укажем 30 дней (43200 минут)
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.bmp$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tiff$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.rar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.avi$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.vfl$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.flv$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
##########################################################################
cache_mgr xxxxxx@mail.ru
cache_effective_user nobody
cache_effective_group nogroup
Где накосячил ?

P.S. В iptables включен NAT IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE



Последнее исправление: Humaxoid (всего исправлений: 1)

Сквид переходит в прозрачный режим

с чего ты взял, что он переходит в прозрачный режим?

У клиентов в локалки пропадает инет

как диагностировал?

локалки

пишите грамотно.

uspen ★★★★★
()
Ответ на: комментарий от uspen

и еще.

почему ты решил, что это именно squid, почему ты решил, что он глючит.

как ты вообще ситуацию анализировал.

uspen ★★★★★
()
Ответ на: комментарий от uspen

с чего ты взял, что он переходит в прозрачный режим?

У клиента прописываю в браузере проксю с портом 3128, инет после этого появляется

Humaxoid
() автор топика
Ответ на: комментарий от uspen

а, ясно. Хорошо ты его опразрачил:

Нет это не прозрачно.

Прозрачно так

 http_port 3128 intercept

Humaxoid
() автор топика
Ответ на: комментарий от Humaxoid

чего ты взял, что он переходит в прозрачный режим?

У клиента прописываю в браузере проксю с портом 3128, инет после этого появляется

то есть до этого юзеры ломились напрямки? прямки сломались и вы решили что виновен сквид :)

MKuznetsov ★★★★★
()

Выключи нат, на клиентах пропиши прокси, а потом поговорим.

GoNaX ★★★
()

хоть бы в access.log заглянул, чтоб увидеть, что никто через твой прокси не ходит

anonymous
()
Ответ на: комментарий от anonymous

НАТ включен, для того чтобы у клиентов всякие там апдейты бухалтерских програм ходили без проблем. А то сквид их не пропускает. Все запросы на порт 3128, как и положенно ходят через сквид. Потому как в настройках браузера приказанно на этот порт ходить, а не через нат. И access.log это подтверждает. Получается браузеры идут через Сквид, всё остальное через NAT. Естественно если сквид глюкнул, то браузер ничего не покажет . Отключаем в настройках проксю, тогда браузер как и положенно полез на 80 порт через NAT.

Ну да ладно, чтобы не создавать путаницу вообще отрубил NAT в iptables. Клиенты ходят только через Сквид. Всё работает нормально до поры до времени. Если глюкнул смотрю процессы. Так Сквид в процессах отображается. Тогда передергиваем сквид и тут же все востановилось.

Humaxoid
() автор топика
Ответ на: комментарий от MKuznetsov

то есть до этого юзеры ломились напрямки? прямки сломались и вы решили что виновен сквид :)

Нет всё наоборот. Юзеры ходили через сквид, сквид сломался, юзеры сосут чупа чупс. Отключил у юзеров в браузерах 192.168.1.1:3128, тогда все пошли напрямую через NAT

Humaxoid
() автор топика
Ответ на: комментарий от Humaxoid

у вас талант ясно, чётко и однозначно выражать свои мысли :) «У клиента прописываю в браузере проксю с портом 3128, инет после этого появляется» VS «Отключил у юзеров в браузерах 192.168.1.1:3128, тогда все пошли напрямую через NAT» чего стоят. И вывод про самостоятельный переход squid`а в прозрачный режим - он просто шедеврален :)

это была лирика, а в серой и унылой прозе - отключай rejik или настраивай url_rewrite_children а rejik обновляй. Rewriter по каким-то своим внутренним проблемам заткнулся, а squid без него не мог контент отдавать.

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

И вывод про самостоятельный переход squid`а в прозрачный режим - он просто шедеврален :)

Я разве писал об этом, или я делал выводы о переходе сквида в прозрачный режим? Вы про это вообще читали?

IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
или сами такие выводы сделали? А rejik тут вообще не причем. Смысла не имеет говорить, о том что режик самый свежий. К тому же, на момен проведения всех этих экспериментов он и так был отключен.

Humaxoid
() автор топика
Ответ на: комментарий от Humaxoid

«У клиентов в локалки пропадает инет. Если быть точней, то почемуто Сквид переходит в прозрачный режим» - этого разве нет в топике ?

MKuznetsov ★★★★★
()
Ответ на: комментарий от Humaxoid

К тому же, на момен проведения всех этих экспериментов он и так был отключен.

каких к матери экспериментов ? смотрим в топик, в конфиге сквида rejik включен. Или тема создана, так, чисто поприкалываться ??

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

Блин голова кругом уже. Вопрос успешно решился. Просто заново перекомпилировал сквид и не стал разбиратся. Глюки прекратились.

Humaxoid
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.