SQUID & long URLs = Trouble

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
dm07
сержант
Сообщения: 222
Зарегистрирован: 2008-07-27 19:58:25
Откуда: Уфа
Контактная информация:

SQUID & long URLs = Trouble

Непрочитанное сообщение dm07 » 2009-08-31 9:06:00

Всем привет!

Имеется SQUID 3.0.14. Имеется настроенный SAMS. И имеется проблема: например, пользователь заходит на gmail.com, все ок. Дальше вводит имя пользователя и пароль, и вот тут выскакивает окно, что мол доступ запрещен. Приложил скриншот. Заметил, что такое возникает при длинных URL строках, например, когда как в gmail имеем длинную портянку параметров. Также в access.log:

Код: Выделить всё

1251698584.901 0 192.168.111.108 TCP_HIT/301 779 GET http://gmail.com/ tester1 NONE/- text/html
1251698585.060 158 192.168.111.108 TCP_MISS/302 983 GET http://mail.google.com/mail/ tester1 DIRECT/mail.google.com text/html
1251698587.327 634 192.168.111.108 TCP_MISS/200 8315 CONNECT www.google.com:443 tester1 DIRECT/www.google.com                                                        -
1251698587.689 398 192.168.111.108 TCP_MISS/200 5747 CONNECT mail.google.com:443 tester1 DIRECT/mail.google.com -
1251698588.336 1019 192.168.111.108 TCP_MISS/200 2574 CONNECT mail.google.com:443 tester1 DIRECT/mail.google.com -
1251698601.857 14528 192.168.111.108 TCP_MISS/200 6550 CONNECT mail.google.com:443 tester1 DIRECT/mail.google.com -
1251698601.944 86 192.168.111.108 TCP_MISS/200 0 CONNECT mail.google.com:443 tester1 DIRECT/mail.google.com -
1251698612.463 24774 192.168.111.108 TCP_MISS/200 8816 CONNECT ssl.google-analytics.com:443 tester1 DIRECT/ssl.google-analytics.com -
1251698612.466 1 192.168.111.108 TCP_DENIED/403 1407 GET http://www.google.ru/accounts/SetSID? tester1 NONE/- text/html
Всем спасибо за помощь.
Вложения
err.JPG

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: SQUID & long URLs = Trouble

Непрочитанное сообщение hizel » 2009-08-31 10:18:02

а хде конфигурация?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

dm07
сержант
Сообщения: 222
Зарегистрирован: 2008-07-27 19:58:25
Откуда: Уфа
Контактная информация:

Re: SQUID & long URLs = Trouble

Непрочитанное сообщение dm07 » 2009-08-31 13:22:48

hizel писал(а):а хде конфигурация?
Приложил squid.conf. Если вкратце:

Код: Выделить всё

# created by SAMS _sams_ 2009-8-31 12:28:43
#Domain Auth

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Access to Proxy (for Question call 111 or 125)
auth_param basic credentialsttl 10 minutes

# TAG: acl
acl _sams_4a9ae5053dcab proxy_auth "/usr/local/etc/squid/4a9ae5053dcab.sams" 
acl _sams_4a9ae5053dcab_time time MTWHFAS 00:00-23:59
acl _sams_4a9aeca4ce61d proxy_auth "/usr/local/etc/squid/4a9aeca4ce61d.sams" 
acl _sams_4a9aeca4ce61d_time time MTWHFAS 00:00-23:59
acl _sams_4a9af1ef7f18c proxy_auth "/usr/local/etc/squid/4a9af1ef7f18c.sams" 
acl _sams_4a9af1ef7f18c_time time MTWHFAS 00:00-23:59
acl _sams_4a9ae8e32095c urlpath_regex -i "/usr/local/etc/squid/4a9ae8e32095c.sams"
acl _sams_4a9ae1897033d url_regex "/usr/local/etc/squid/4a9ae1897033d.sams"
acl _sams_4a9adf6726dca url_regex "/usr/local/etc/squid/4a9adf6726dca.sams"
acl _sams_local_url dstdomain "/usr/local/etc/squid/local_url.sams"

#Recommended minimum configuration:
acl authentic proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 8080          # http
acl Safe_ports port 1400	# client-bank
acl Safe_ports port 1080        # client-bank
acl Safe_ports port 1024	# Sberbank client-bank
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl CONNECT method CONNECT
acl Movies rep_mime_type video/mpeg
acl MP3s rep_mime_type audio/mpeg
acl DeniedMediaContent rep_mime_type "/usr/local/squid/denymimetype" 
acl DeniedUsers proxy_auth "/usr/local/squid/denyusers"
acl AllowedUsers proxy_auth "/usr/local/squid/allowedusers"

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_reply_access deny Movies
http_reply_access deny MP3s
http_access deny DeniedUsers
http_reply_access deny DeniedMediaContent

# TAG: http_access
http_access allow _sams_4a9ae5053dcab  !_sams_4a9ae8e32095c !_sams_4a9ae1897033d _sams_4a9ae5053dcab_time  
http_access deny _sams_4a9aeca4ce61d  _sams_4a9aeca4ce61d_time  
http_access allow _sams_4a9af1ef7f18c  !_sams_4a9ae8e32095c !_sams_4a9ae1897033d _sams_4a9af1ef7f18c_time  

http_access deny all

#Allow ICP queries from everyone
icp_access deny all

http_port 192.168.111.251:3128

hierarchy_stoplist cgi-bin ?

cache_log /var/log/squid/cache.log
cache_access_log /var/log/squid/access.log
cache_store_log none
cache_dir ufs /var/cache/squid 10000 32 256

cache_mem 256 MB

error_directory /usr/local/etc/squid/errors/Russian-1251/

logfile_rotate 0

log_ip_on_direct off

Суть в том, что пользователь tester1 получает запрет при входе в gmail.com (на сам сайт заходит, но при входе в саму почту, получает запрет доступа).
Здесь в первом http_access:
_sams_4a9ae5053dcab - файл, содержащий для простоты имя одного пользователя tester1
_sams_4a9ae8e32095c - файл, содержащий:

Код: Выделить всё

.rar
.mov
.mpeg
.mpg
.swf
.cab
.wma
.mp2
.wav
.cdda
.avi
.wmv
.iso
.mp3
.flv
_sams_4a9ae1897033d - файл, содержащий запрещенные домены, gmail или google в их списке не значится.
_sams_4a9ae5053dcab_time - время с полуночи до 23:59
Далее идут http_access, не содержащие пользователя tester1.

Еще заметил такую вещь - при получении сообщения об ошибке через некоторый промежуток времени нажал в браузере F5 и зашел в аккаунт gmail!

Аватара пользователя
Seltsam
рядовой
Сообщения: 11
Зарегистрирован: 2008-07-02 10:34:30
Откуда: Беларусь

Re: SQUID & long URLs = Trouble

Непрочитанное сообщение Seltsam » 2009-09-01 18:32:07

В списке хапрещённых файлов используется неэкранированная точка, которая распознаётся как любой один символ - при фильтрации доступа у тебя под эту точку что-то попадает из длинного урла и получаешь обычный запрет.
А ещё советую для своих правил http_access deny ... использовать deny_info, под который создать свою страничку описания запрета доступа - так можно точно искать по каким правилам у тебя что-нить заблочилось.
Рождённый ползать - упасть не может! (народный оптимизм)
Если не ты, то кто-то другой. (почти девиз)

dm07
сержант
Сообщения: 222
Зарегистрирован: 2008-07-27 19:58:25
Откуда: Уфа
Контактная информация:

Re: SQUID & long URLs = Trouble

Непрочитанное сообщение dm07 » 2009-09-02 16:51:20

Seltsam писал(а):В списке хапрещённых файлов используется неэкранированная точка, которая распознаётся как любой один символ - при фильтрации доступа у тебя под эту точку что-то попадает из длинного урла и получаешь обычный запрет.
А ещё советую для своих правил http_access deny ... использовать deny_info, под который создать свою страничку описания запрета доступа - так можно точно искать по каким правилам у тебя что-нить заблочилось.
Спасибо, насчет deny_info просветили.

pos
проходил мимо

Re: SQUID & long URLs = Trouble

Непрочитанное сообщение pos » 2009-09-22 16:58:48

Камрады ак как всё же решилась проблема. Имею тот же самый гемор.

dm07
сержант
Сообщения: 222
Зарегистрирован: 2008-07-27 19:58:25
Откуда: Уфа
Контактная информация:

Re: SQUID & long URLs = Trouble

Непрочитанное сообщение dm07 » 2009-09-22 18:34:37

pos писал(а):Камрады ак как всё же решилась проблема. Имею тот же самый гемор.
В acl типа urlpath_regex очень внимательно отнесись к точке, лучше вообще временно отключи это правило.