freeBDS-шлюз, периодически не грузятся сайты (err_timed_out)

[oleg_max]

Потестировать работу интернета напрямую через NAT без прокси сервера.

Проверил для начала статус сквида, он оказывается вообще не запущен. При попытке его запустить выдает ошибку - "Cannot open HTTP port"

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[oleg_max]

Может man chflags? Попробуйте:
КОД: ВЫДЕЛИТЬ ВСЁ

chflags -R noschg /etc/resolv.conf

Спасибо, помогло!

[Demis]

Код: Выделить всё

tail /var/log/messages

При попытке его запустить выдает ошибку - "Cannot open HTTP port"

Что пишется в логе при этом?

[novik]

сквида, он оказывается вообще не запущен

Для надёжности посмотрите вывод

Код: Выделить всё

ps -A|grep squid

А то это:

"Cannot open HTTP port"

похоже на то, что какой-то процесс (кокй бы он мог быть?) занял его порт… Может вы вторую его копию запускать пытаетесь? А

Код: Выделить всё

/usr/local/etc/rc.d/squid status
squid is not running.

не всегда показывает реально ли демон не работает.

[Demis]

Резонно.

Код: Выделить всё

cat /var/log/messages | grep squid

в помощь.
Сразу видно должно быть причину. И еще:

Код: Выделить всё

tail -n 100 /ВашПуть/logs/cache.log

тоже поможет прояснить проблему.

[snorlov]

При этом сайты на клиентских машинах, как и на моей глючили, кроме некоторых, которые всегда работают без проблем.

А вот об этом поподробнее, сравните их настройки с неработающими, как настройки протола tcp/ip так и настройки браузеров...
Может ларчик проще открывается

[novik]

+ find hosh_name_сайт_который_всегда_работает_без_проблем.

Код: Выделить всё

find /usr/local/etc/squid/ -type f -exec grep -H 'lissyara' {} \;

Но если имена хостов regexp-ом заданы, то так не найдёт.

[Demis]

Может ларчик проще открывается

Ага, простота она хуже ... (хрен его знает чего)
Месяц назад был прикол. Сгорел ssd. Образ системы (не юникс) снят в 2012-ом. Перезалил на другой ssd. Загружаюсь. Большая часть сайтов в мозиле не открывается. Т.е. даже каких-то нормальных ошибок не пишет, только "сайт не доступен" и все. Часа два тупил, в чем причина? Дошло. Корневые сертификаты, не все конечно, в системе протухли. Залил свежие, актуальные, и все в шоколоде, заработало. Но это еще допереть надо было... Никогда не нужно спешить.

[oleg_max]

Доброго времени суток!

Резонно.
КОД: ВЫДЕЛИТЬ ВСЁ

cat /var/log/messages | grep squid

В messages при попытке старта выдает такое:

Код: Выделить всё

Dec 21 09:38:15 gatew squid[22832]: Squid Parent: child process 22834 started
Dec 21 09:38:16 gatew (squid): Cannot open HTTP Port
Dec 21 09:38:16 gatew squid[22832]: Squid Parent: child process 22834 exited with status 1
Dec 21 09:38:19 gatew squid[22832]: Squid Parent: child process 22837 started
Dec 21 09:38:19 gatew (squid): Cannot open HTTP Port
Dec 21 09:38:19 gatew squid[22832]: Squid Parent: child process 22837 exited with status 1
Dec 21 09:38:22 gatew squid[22832]: Squid Parent: child process 22841 started
Dec 21 09:38:22 gatew (squid): Cannot open HTTP Port
Dec 21 09:38:22 gatew squid[22832]: Squid Parent: child process 22841 exited with status 1
Dec 21 09:38:25 gatew squid[22832]: Squid Parent: child process 22844 started
Dec 21 09:38:26 gatew (squid): Cannot open HTTP Port
Dec 21 09:38:26 gatew squid[22832]: Squid Parent: child process 22844 exited with status 1
Dec 21 09:38:29 gatew squid[22832]: Squid Parent: child process 22847 started
Dec 21 09:38:29 gatew (squid): Cannot open HTTP Port
Dec 21 09:38:29 gatew squid[22832]: Squid Parent: child process 22847 exited with status 1
Dec 21 09:38:29 gatew squid[22832]: Exiting due to repeated, frequent failures 

КОД: ВЫДЕЛИТЬ ВСЁ

tail -n 100 /ВашПуть/logs/cache.log

Код: Выделить всё

FATAL: Cannot open HTTP Port
Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 0.022 seconds = 0.015 user + 0.007 sys
Maximum Resident Size: 14752 KB
Page faults with physical i/o: 0
2019/12/21 09:38:16| Starting Squid Cache version 3.1.10 for amd64-portbld-freebsd8.2...
2019/12/21 09:38:16| Process ID 22834
2019/12/21 09:38:16| With 57321 file descriptors available
2019/12/21 09:38:16| Initializing IP Cache...
2019/12/21 09:38:16| ipcacheAddEntryFromHosts: Bad IP address '<<<<<<<'
2019/12/21 09:38:16| ipcacheAddEntryFromHosts: Bad IP address '>>>>>>>'
2019/12/21 09:38:16| DNS Socket created at 0.0.0.0, FD 7
2019/12/21 09:38:16| Adding domain IC-MISTO from /etc/resolv.conf
2019/12/21 09:38:16| Adding domain IC-MISTO.com from /etc/resolv.conf
2019/12/21 09:38:16| Adding nameserver 193.107.107.2 from /etc/resolv.conf
2019/12/21 09:38:16| Adding nameserver 193.107.107.3 from /etc/resolv.conf
2019/12/21 09:38:16| Adding nameserver 8.8.8.8 from /etc/resolv.conf
2019/12/21 09:38:16| Unlinkd pipe opened on FD 12
2019/12/21 09:38:16| Store logging disabled
2019/12/21 09:38:16| Swap maxSize 0 + 1048576 KB, estimated 80659 objects
2019/12/21 09:38:16| Target number of buckets: 4032
2019/12/21 09:38:16| Using 8192 Store buckets
2019/12/21 09:38:16| Max Mem  size: 1048576 KB
2019/12/21 09:38:16| Max Swap size: 0 KB
2019/12/21 09:38:16| Using Least Load store dir selection
2019/12/21 09:38:16| Set Current Directory to /var/squid
2019/12/21 09:38:16| Loaded Icons.
2019/12/21 09:38:16| commBind: Cannot bind socket FD 13 to 0.0.0.0:3128: (48) Address already in use
2019/12/21 09:38:16| storeDirWriteCleanLogs: Starting...
2019/12/21 09:38:16|   Finished.  Wrote 0 entries.
2019/12/21 09:38:16|   Took 0.00 seconds (  0.00 entries/sec).
FATAL: Cannot open HTTP Port
Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 0.025 seconds = 0.017 user + 0.008 sys
Maximum Resident Size: 14800 KB
Page faults with physical i/o: 0
2019/12/21 09:38:19| Starting Squid Cache version 3.1.10 for amd64-portbld-freebsd8.2...
2019/12/21 09:38:19| Process ID 22837
2019/12/21 09:38:19| With 57321 file descriptors available
2019/12/21 09:38:19| Initializing IP Cache...
2019/12/21 09:38:19| ipcacheAddEntryFromHosts: Bad IP address '<<<<<<<'
2019/12/21 09:38:19| ipcacheAddEntryFromHosts: Bad IP address '>>>>>>>'
2019/12/21 09:38:19| DNS Socket created at 0.0.0.0, FD 7
2019/12/21 09:38:19| Adding domain IC-MISTO from /etc/resolv.conf
2019/12/21 09:38:19| Adding domain IC-MISTO.com from /etc/resolv.conf
2019/12/21 09:38:19| Adding nameserver 193.107.107.2 from /etc/resolv.conf
2019/12/21 09:38:19| Adding nameserver 193.107.107.3 from /etc/resolv.conf
2019/12/21 09:38:19| Adding nameserver 8.8.8.8 from /etc/resolv.conf
2019/12/21 09:38:19| Unlinkd pipe opened on FD 12
2019/12/21 09:38:19| Store logging disabled
2019/12/21 09:38:19| Swap maxSize 0 + 1048576 KB, estimated 80659 objects
2019/12/21 09:38:19| Target number of buckets: 4032
2019/12/21 09:38:19| Using 8192 Store buckets
2019/12/21 09:38:19| Max Mem  size: 1048576 KB
2019/12/21 09:38:19| Max Swap size: 0 KB
2019/12/21 09:38:19| Using Least Load store dir selection
2019/12/21 09:38:19| Set Current Directory to /var/squid
2019/12/21 09:38:19| Loaded Icons.
2019/12/21 09:38:19| commBind: Cannot bind socket FD 13 to 0.0.0.0:3128: (48) Address already in use
2019/12/21 09:38:19| storeDirWriteCleanLogs: Starting...
2019/12/21 09:38:19|   Finished.  Wrote 0 entries.
2019/12/21 09:38:19|   Took 0.00 seconds (  0.00 entries/sec). 

вот че выдает...

[oleg_max]

А вот об этом поподробнее, сравните их настройки с неработающими, как настройки протола tcp/ip так и настройки браузеров...
Может ларчик проще открывается

Я имел в виду, что некоторые сайты всегда работают без проблем.

[oleg_max]

+ find hosh_name_сайт_который_всегда_работает_без_проблем.

Не совсем понял, что необходимо сделать...

Если ввожу

find /usr/local/etc/squid/ -type f -exec grep -H 'lissyara' {} \;

либо вместо "lissyara" любой другой ресурс возвращает - bash: lissyara: command not found.

[snorlov]

Посмотрите настройки squid'a, судя по всему у он стартует на всех интерфейсах, привяжите его к интерфейсу, который смотрит в локалку,
да и про нат, на чем он реализован? Есть ли в pf'е правила для него...
Почтовик работает без проблем?

[novik]

Не совсем понял, что необходимо сделать...

Я имел в виду, что если некоторые сайты всегда работают без проблем, то стоит поискать эти некоторые сайты в конфигурационных файлах настройки squid-а.

возвращает - bash: lissyara: command not found.

Странно однако. У меня это ищет указанную строку в содержимом файлов указанной папки:

Код: Выделить всё

find /usr/local/etc/squid/ -type f -exec grep -H 'kali' {} \;
/usr/local/etc/squid/whitelist.url:http\.kali\.org
/usr/local/etc/squid/whitelist.url:kali\.download

Может потому что у меня родной фряшный shell csh, а не bash. Это у вас bash у root-а?

[oleg_max]

Посмотрите настройки squid'a, судя по всему у он стартует на всех интерфейсах, привяжите его к интерфейсу, который смотрит в локалку,
да и про нат, на чем он реализован? Есть ли в pf'е правила для него...
Почтовик работает без проблем?

Почитал про конфиг сквида, не нашел где настраивается конкретный интерфейс. И в squid.conf тоже ничего такого не нашел. Сквид настроен как-то странно есть строка

Код: Выделить всё

http_port 3128 intercept 

но для прозрачного режима должно ведь быть

Код: Выделить всё

http_port 127.0.0.1:3128 intercept

NAT реализован c помощью pf. Правило в pf.conf -

Код: Выделить всё

nat on $ext_if from $int_if:network to any -> ($ext_if)
nat on $ext_if from !($ext_if) -> ($ext_if:0) 

По поводу почты, вроде бы нормально работает... Ну письма отправляются и приходят. Иногда спам всем приходит... Но это, видать, нашу базу адресов сломали или каким-то иным способом утащили... Приходится заносить в блеклист, ибо по теме или по тексту письма нет возможности блокировать. Да и SSL на почту не установлен...

[oleg_max]

Это у вас bash у root-а?

Да bash у root-a. Кто и зачем так сделал не могу знать.

[novik]

но для прозрачного режима должно ведь быть

Код: Выделить всё

http_port 127.0.0.1:3128 intercept

Не обязательно. Но вот как раз потому что

Код: Выделить всё

http_port 3128 intercept

он у вас и

0.0.0.0:3128

На всех интерфейсах пытается. Сделайте ему

Код: Выделить всё

http_port 192.168.1.99:3128 intercept

[novik]

Да bash у root-a.

От root выполняются системные скрипты, ему не рекомендуется менять shell.

[oleg_max]

Сделайте ему
http_port 192.168.1.99:3128 intercept

Сделал, попытался запустить, выдало ошибку - cannot open ICP port.

В messages -

Код: Выделить всё

Dec 21 15:26:35 gatew squid[30509]: Squid Parent: child process 30511 started
Dec 21 15:26:35 gatew (squid): Cannot open ICP Port
Dec 21 15:26:35 gatew squid[30509]: Squid Parent: child process 30511 exited with status 1
Dec 21 15:26:38 gatew squid[30509]: Squid Parent: child process 30514 started
Dec 21 15:26:38 gatew (squid): Cannot open ICP Port
Dec 21 15:26:38 gatew squid[30509]: Squid Parent: child process 30514 exited with status 1
Dec 21 15:26:41 gatew squid[30509]: Squid Parent: child process 30517 started
Dec 21 15:26:42 gatew (squid): Cannot open ICP Port
Dec 21 15:26:42 gatew squid[30509]: Squid Parent: child process 30517 exited with status 1
Dec 21 15:26:45 gatew squid[30509]: Squid Parent: child process 30520 started
Dec 21 15:26:45 gatew (squid): Cannot open ICP Port
Dec 21 15:26:45 gatew squid[30509]: Squid Parent: child process 30520 exited with status 1
Dec 21 15:26:48 gatew squid[30509]: Squid Parent: child process 30523 started
Dec 21 15:26:48 gatew (squid): Cannot open ICP Port
Dec 21 15:26:48 gatew squid[30509]: Squid Parent: child process 30523 exited with status 1
Dec 21 15:26:48 gatew squid[30509]: Exiting due to repeated, frequent failures 

В /squid/cache.log

Код: Выделить всё

2019/12/21 15:26:48| Starting Squid Cache version 3.1.10 for amd64-portbld-freebsd8.2...
2019/12/21 15:26:48| Process ID 30523
2019/12/21 15:26:48| With 57321 file descriptors available
2019/12/21 15:26:48| Initializing IP Cache...
2019/12/21 15:26:48| ipcacheAddEntryFromHosts: Bad IP address '<<<<<<<'
2019/12/21 15:26:48| ipcacheAddEntryFromHosts: Bad IP address '>>>>>>>'
2019/12/21 15:26:48| DNS Socket created at 0.0.0.0, FD 7
2019/12/21 15:26:48| Adding domain IC-MISTO from /etc/resolv.conf
2019/12/21 15:26:48| Adding domain IC-MISTO.com from /etc/resolv.conf
2019/12/21 15:26:48| Adding nameserver 193.107.107.2 from /etc/resolv.conf
2019/12/21 15:26:48| Adding nameserver 193.107.107.3 from /etc/resolv.conf
2019/12/21 15:26:48| Unlinkd pipe opened on FD 12
2019/12/21 15:26:48| Store logging disabled
2019/12/21 15:26:48| Swap maxSize 0 + 1048576 KB, estimated 80659 objects
2019/12/21 15:26:48| Target number of buckets: 4032
2019/12/21 15:26:48| Using 8192 Store buckets
2019/12/21 15:26:48| Max Mem  size: 1048576 KB
2019/12/21 15:26:48| Max Swap size: 0 KB
2019/12/21 15:26:48| Using Least Load store dir selection
2019/12/21 15:26:48| Set Current Directory to /var/squid
2019/12/21 15:26:48| Loaded Icons.
2019/12/21 15:26:48| Accepting  intercepted HTTP connections at 192.168.1.99:3128, FD 13.
2019/12/21 15:26:48| commBind: Cannot bind socket FD 14 to 0.0.0.0:3130: (48) Address already in use
2019/12/21 15:26:48| storeDirWriteCleanLogs: Starting...
2019/12/21 15:26:48|   Finished.  Wrote 0 entries.
2019/12/21 15:26:48|   Took 0.00 seconds (  0.00 entries/sec).
FATAL: Cannot open ICP Port
Squid Cache (Version 3.1.10): Terminated abnormally.
CPU Usage: 0.023 seconds = 0.008 user + 0.015 sys
Maximum Resident Size: 14292 KB
Page faults with physical i/o: 0 

В squid.conf есть такое:

Код: Выделить всё

delay_class 5 2
delay_access 5 allow office
delay_parameters 5 -1/-1 500000/1000000
delay_access 5 deny all

icp_port 3130

error_directory /var/log/squid/Russian-1251 

[novik]

FATAL: Cannot open ICP Port

Выключите ICP запросы, у вас squid только один, они наверняка вам не пригодятся.

Код: Выделить всё

icp_port 0

В squid.conf есть такое

Закомментируйте все delay_ перечитайте squid-конфиг

Код: Выделить всё

squid -k reconfigure

или просто запустите его если он упал. Проверьте работу интенета.

[snorlov]

Если я правильно понимаю, зона и прямая и обратная у вас есть. Ну тогда надо запросить сертификаты у Let', хотя бы через https://www.sslforfree.com/, но нужен работающий веб, настроить exim и dovecot на их использование очень просто... Правда веб-сервера нет, а так ставить порт и вперед...
$ext_if в pf у вас кто?
А как там с настройками локального dns'a, он ведь у вас тоже кажется имеется

[snorlov]

В принципе, можно в pf выключить редирект на squid и после этого посмотреть как будет работать, после чего сделать вывод в squid'е ли проблемы...

[oleg_max]

Доброго времени суток! Да, прямая и обратная зоны есть. Но вот нужен ли вообще для нашего офиса свой ДНС? В офисе около 30 компов, два сервера на win 2008 r2 (контроллер домена и 1С сервер), сервер с астериском, но у него свой отдельный канал интерента, freeBSD шлюз, и пара Wi-Fi роутеров.

А как там с настройками локального dns'a, он ведь у вас тоже кажется имеется

Если я правильно понимаю, то для локального ДНС просто прописываются в resolv.conf адреса ДНС серверов провайдера? И еще хотел спросить, для того чтобы использовать локальный ДНС достаточно закоментировать в rc.conf - named_enable="yes" и перечитать rc.conf, или нужно еще какие-то настройки менять и перегружать сервер?

$ext_if в pf у вас кто?

ext_if = "tun0", но в мир "смотрит" - alc0

В принципе, можно в pf выключить редирект на squid

Подскажите, пожалуйста, какой параметр в pf отвечает за редирект на squid?

Сегодня сутра жестко тупит интернет... И практически всегда в статус баре висит - создание безопасного подключения, и секунд 30-40 сайт не подгружается.

[snorlov]

А у вас на клиентах вообще кто в качестве шлюза идет?
На этом сервере ip

ifconfig_em0="inet 192.168.1.99 netmask 255.255.255.0"

соответственно squid тоже висит на этом ip (компьютере), а вот pf осуществляет редирект на 192.168.1.103

rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 80 -> 192.168.1.103 port ???
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 443 -> 192.168.1.103 port ???

Спрашивается, а кто есть 192.168.1.103...

[snorlov]

В принципе если у вас есть КД, то лучше завязаться на него, в любом случае DNS у него стоит и работает, так и пусть он трудиться на благо локалки, а на роутере пусть стоит вторичник... DHCP то в сетки у вас задействован или же как?

[oleg_max]

Выключите ICP запросы, у вас squid только один, они наверняка вам не пригодятся.

Выключил ICP запросы, закоментировал все делаи, сквид запустился вроде бы без ошибок... Загрузка сайтов тупит... В статус баре - создание безопасного подключения, а потом - err_timed_out. Потом, примерно через минуту обновляешь страничку, сайт загружается. Какая-то магия...

А у вас на клиентах вообще кто в качестве шлюза идет?

Шлюз на клиентах 192.168.1.99

novik писал(а): ↑2019-12-20 16:41:37
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 80 -> 192.168.1.103 port ???
rdr on $int_if proto { tcp } from 192.168.1.0/24 to any port 443 -> 192.168.1.103 port ???

Таких строк в pf.conf нет. А вообще 192.168.1.103 это сервер 1С.

В принципе если у вас есть КД, то лучше завязаться на него

Что именно вы имеете в виду? И адреса в сетке руками раздаются. DHCP не включен.