трабл со сквидом 3.3.1 на FreeBSD

[ramadanko87]

перевел в прозрачный режим проксю и она банит все сайты:
"При получении URL http://putty.org/ произошла следующая ошибка
Доступ запрещён.
Система контроля доступа не позволяет выполнить ваш запрос сейчас. Обратитесь к вашему администратору.
Администратор Вашего кэша: webmaster."
Перевожу в обычный режим - все в норме.
Сквида 3,3,11
вот конфиг:

Код: Выделить всё

acl localnet src 192.168.0.0/24    # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT

acl AdminsIP src "/usr/local/etc/squid/AccessLists/AdminsIP.txt"
acl RestrictedDomains dstdomain "/usr/local/etc/squid/AccessLists/RestrictedDomains.txt"
acl ad_group_rassh urlpath_regex -i "/usr/local/etc/squid/AccessLists/rasshirenie.txt"

http_access allow localhost
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

http_access allow localhost
http_access allow AdminsIP
http_access deny RestrictedDomains
http_access deny ad_group_rassh
http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
htcp_access allow localnet
htcp_access deny all
http_port 192.168.0.97:3128
http_port 127.0.0.1:3129 intercept
cache deny all
access_log /var/log/squid/access.log squid

В логах сквида TCP_MISS
Подскажите, пожалуйста, в чем может быть трабл?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gumeniuc]

прокся собрана с поддержкой прозрачного режима ?

[ramadanko87]

прокся собрана с поддержкой прозрачного режима ?

Squid Cache: Version 3.3.11
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group SQL_session' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--without-pthreads' '--enable-storeio=diskd rock ufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--disable-ipv6' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-htcp' '--disable-forw-via-db' '--disable-cache-digests' '--disable-wccp' '--disable-wccpv2' '--disable-eui' '--enable-ipfw-transparent' '--enable-pf-transparent' '--enable-ipf-transparent' '--disable-follow-x-forwarded-for' '--disable-ecap' '--disable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--disable-optimizations' '--enable-debug-cbdata' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.1' 'build_alias=amd64-portbld-freebsd9.1' 'CC=cc' 'CFLAGS=-pipe -I/usr/include -g' 'LDFLAGS= -Wl,-rpath,/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/include -g' 'CPP=cpp' --enable-ltdl-convenience

[medved]

День добрый.
Вы решили свою проблему?? если да подскажите решение, сейчас мучаюсь с такой же проблемкой....

[ramadanko87]

День добрый.
Вы решили свою проблему?? если да подскажите решение, сейчас мучаюсь с такой же проблемкой....

да - рубанул ipnat и сделал все через natd, но инет начал периодически тупить - RDP сессии отпадать начали с natd и многое другое. Было решено перейти на нормальный дистрибутив. Все тоже самое у меня завелось с полуоборота на SLES Enterprise 11.3 SP3, OpenSuse 13.1, Ubuntu 12.04.04, Debian 7.5...
на всем кроме FreeBSD с ipnat. Я пришел к выводу, что FreeBSD хорош разве, что в виде онли шлюза и только из-за легкой настройки ограничения скорости (DUMMYNET) в остальном он ничего не может "из коробки", любое телодвижение - пересборка ядра.

[Electronik]

Я пришел к выводу, что FreeBSD хорош разве, что в виде онли шлюза и только из-за легкой настройки ограничения скорости (DUMMYNET) в остальном он ничего не может "из коробки", любое телодвижение - пересборка ядра.

да ладно))) написали бы сразу что было лень разбираться, а через yast настроить это не "из каропки".

[ramadanko87]

Я пришел к выводу, что FreeBSD хорош разве, что в виде онли шлюза и только из-за легкой настройки ограничения скорости (DUMMYNET) в остальном он ничего не может "из коробки", любое телодвижение - пересборка ядра.

да ладно))) написали бы сразу что было лень разбираться, а через yast настроить это не "из каропки".

Чего это лень? Я разобрался в том что мне нужно было конкретно в FreeBSD. Только зачем мне такая "чудесная" ОС, которая для того чтобы сделать банальный редирект я должен перепробовать 100500 утилит. Я считаю, что это не нормальная ситуация, что ipnat нормально натит, но не может сделать редирект на сквиду, а natd натит "с проблемами" , но зато заворачивает. Вот с чем до конца не разобрался так это с ядерным натом - настривая по хэндбуку при включении правил отключались сетевые интерфейсы при том, что все нужные предписаныя я выполнял, ядро собрал с нужными опциями, но нат так и не завелся.

[wien]

всего 2 строчки в конфиге ipfw и ты счастлив:

Код: Выделить всё

# NAT
${FwCMD} nat 1 config log if ${LanOut} same_ports
${FwCMD} add nat 1 ip from any to any out via ${LanOut}

переменные задать свои ес-но

[andrian_freebsd]

Только зачем мне такая "чудесная" ОС, которая для того чтобы сделать банальный редирект я должен перепробовать 100500 утилит. Я считаю, что это не нормальная ситуация, что ipnat нормально натит, но не может сделать редирект на сквиду, а natd натит "с проблемами" , но зато заворачивает.

Все из коробки даст pf ...

[ramadanko87]

всего 2 строчки в конфиге ipfw и ты счастлив:

Код: Выделить всё

# NAT
${FwCMD} nat 1 config log if ${LanOut} same_ports
${FwCMD} add nat 1 ip from any to any out via ${LanOut}

переменные задать свои ес-но

оке - завтра/послезавтра запилю снова FreeBSD и сделаю как ты сказал... проверим))