squid. ОШИБКА 403: Forbidden.

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
ffzema
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-09-26 14:54:53

squid. ОШИБКА 403: Forbidden.

Непрочитанное сообщение ffzema » 2007-09-26 15:36:49

Здравствуйте у меня проблемма
squid 2.6+ipfw
когда с клиента коннектишься выдает ошибку

Код: Выделить всё

wget ya.ru
--16:24:05--  http://ya.ru/
           => `index.html.1'
Преобразование адреса ya.ru... 213.180.204.8, 87.250.251.8
Устанавливается соединение с ya.ru|213.180.204.8|:80... соединились.
Запрос HTTP послан, ожидание ответа... 403 Forbidden
16:24:05 ОШИБКА 403: Forbidden.
Где может быть ошибка помогите плиз
squid.conf

Код: Выделить всё

http_port 3128 transparent
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@my_domain.ru
visible_hostname mail.my_domain.ru
tcp_outgoing_address 192.168.0.76
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
#redirect_program /usr/local/etc/squid/redirector.pl
#redirect_children 10

acl     all             src             0.0.0.0/0.0.0.0
acl     allowed_sites   dstdomain       "/usr/local/my_doc_smb/squid/allowed_sites.conf"
acl     limited_IP      src             "/usr/local/my_doc_smb/squid/limited_IP.conf"
acl     localhost       src             127.0.0.0/8
acl     our_networks    src             192.168.0.0/24
#acl    denied_sites    dstdomain       \
#"/usr/local/my_doc_smb/squid/denied_ext.conf"
http_access    deny    denied_sites
http_access     allow   allowed_sites
http_access     deny   limited_IP
http_access     allow   our_networks
http_access     allow   localhost
http_access     deny    all

coredump_dir /usr/local/squid/cache
pid_filename /usr/local/squid/logs/squid.pid
/etc/rc.firewall

Код: Выделить всё

${FwCMD} add fwd 127.0.0.1,3128 tcp from ${NetIn}/${NetMask} to any 80 via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
access.log

Код: Выделить всё

1190824282.858      0 192.168.0.18 TCP_NEGATIVE_HIT/403 1502 GET http://ya.ru/ - NONE/- text/html
cache.log

Код: Выделить всё

2007/09/26 16:30:20| WARNING: Forwarding loop detected for:
Client: 192.168.0.76 http_port: 87.250.251.8:80
GET http://ya.ru/ HTTP/1.0
User-Agent: Wget/1.10.2
Accept: */*
Host: ya.ru
Via: 1.0 mail.my_domain.ru:3128 (squid/2.6.STABLE13+ICAP)
X-Forwarded-For: 192.168.0.18
Cache-Control: max-age=259200
Connection: keep-alive
store.log

Код: Выделить всё

1190824220.548 RELEASE -1 FFFFFFFF 2EA6E236BFA9A511DABD37CFAA09EE3D  403 1190824220         0 1190824220 text/html 1067/1067 GET http://ya.ru/
Последний раз редактировалось Alex Keda 2007-09-26 16:57:31, всего редактировалось 1 раз.
Причина: Товарищщи, цените чужое время, юзайте кнопочку [code]...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: squid. ОШИБКА 403: Forbidden.

Непрочитанное сообщение -cat- » 2007-09-26 15:54:12

1. Информация неполная, явно не хватает вывода

Код: Выделить всё

ipfw -a list
2. В Squide забей все http_access до

Код: Выделить всё

http_access allow our_networks
и посмотри что будет

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid. ОШИБКА 403: Forbidden.

Непрочитанное сообщение Alex Keda » 2007-09-26 16:59:17

и юзай кнопочку code - ибо вот -cat- захотел разбираться в портянке что ты вывалил, а я ууже не хочу.
мне хватило минуты убитой на расставление тегов.
а мог бы ту же минуту потратить на въезжание в твою проблему.
Убей их всех! Бог потом рассортирует...

ffzema
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-09-26 14:54:53

Re: squid. ОШИБКА 403: Forbidden.

Непрочитанное сообщение ffzema » 2007-09-27 7:20:20

Код: Выделить всё

ipfw -a list

FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="sis0"            # внешний интерфейс
LanIn="rl0"            # внутренний интерфейс
IpOut="192.168.1.76" # внешний IP адрес машины
IpIn="192.168.0.76"   # внутренний IP машины
NetMask="24"

00100    0      0 check-state
00200 7902 997116 allow ip from any to any via lo0
00300    0      0 deny ip from any to 127.0.0.0/8
00400    0      0 deny ip from 127.0.0.0/8 to any
00500    0      0 deny ip from any to 10.0.0.0/8 in via sis0
00600    0      0 deny ip from any to 172.16.0.0/12 in via sis0
00700    0      0 deny ip from any to 0.0.0.0/8 in via sis0
00800    0      0 deny icmp from any to any frag
00900  256  15705 fwd 127.0.0.1,3128 tcp from 192.168.0.0/24 to any dst-port 80 via sis0
01000   86   5453 divert 8668 ip from 192.168.0.0/24 to any out via sis0
01100  593 395731 divert 8668 ip from any to 192.168.1.76 in via sis0
01200 1453 500202 allow tcp from any to any established
01300  183  11673 allow ip from 192.168.1.76 to any out xmit sis0
01400   86  22495 allow udp from any 53 to any via sis0
01500    0      0 allow udp from any to any dst-port 53 via sis0
01600    0      0 allow udp from any to any dst-port 123 via sis0
01700    0      0 allow tcp from any to 192.168.1.76 dst-port 21 via sis0
01800    0      0 allow tcp from any to 192.168.1.76 dst-port 6667 via sis0
01900    0      0 allow tcp from any to 192.168.1.76
02000    0      0 allow tcp from any to 192.168.1.76 dst-port 49152-65535 via sis0
02100    9    700 allow icmp from any to any icmptypes 0,8,11
02200    0      0 allow tcp from any to 192.168.1.76 dst-port 22 via sis0
02300  238  14288 allow tcp from any to any via rl0
02400  222  32913 allow udp from any to any via rl0
02500    0      0 allow icmp from any to any via rl0
02600   25   1872 deny ip from any to any
65535    0      0 allow ip from any to any
Поставил везде allow
Проблемма таже
И еще если пакеты в ipfw не перенаправляешь на squid, то инет раздается

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: squid. ОШИБКА 403: Forbidden.

Непрочитанное сообщение -cat- » 2007-09-27 7:42:58

Полагаю ошибка здесь
ffzema писал(а):

Код: Выделить всё

tcp_outgoing_address 192.168.0.76
ffzema писал(а):И еще если пакеты в ipfw не перенаправляешь на squid, то инет раздается
Клиенты лезут напрямую через NATD, а не через SQUID

ffzema
проходил мимо
Сообщения: 3
Зарегистрирован: 2007-09-26 14:54:53

Re: squid. ОШИБКА 403: Forbidden.

Непрочитанное сообщение ffzema » 2007-09-27 9:43:40

Да все получилось. Ура!
Спапсибо -cat- за помощь. Поставил

Код: Выделить всё

tcp_outgoing_address 192.168.1.76
то есть внешнюю сетевуху, которая в инет смотрит и все заработало.
Буду ща прикручивать clam.
Удачи всем