Squid - проблемы с методом POST. Ромогает cache deny

[terminus]

Есть кеширующий сквид работающий в стандартном режиме. При отсылках файлов через метод POST, на некоторых сайтах вылезают проблемы - отсылка не проходит и наступает таймаут. В лонгах неразбериха - не могу сам выяснить причину - все сайты работабт, а некоторые нет!

Ромогает директива cache deny для таких сайтов. Когда нет кеширования данных, то отсылка срабатывает.

У кого-нить были похожие проблемы? Чедетать!?!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gonzo111]

вчера позавчера у меня не работала отсылка сообщений(post) на форуме и сайте лиса

у тебя точно на всех сайтах?

[gonzo111]

____________
извини за офтоп у меня еще тут вопросик,
в логах сквида вижу такое это нормально?
1)cache.log.

Код: Выделить всё

2010/06/10 13:12:13| httpReadReply: Excess data from "GET http://www.lissyara.su/articles/freebsd/programms/"
2010/06/10 13:12:34| httpReadReply: Excess data from "GET http://www.lissyara.su/articles/freebsd/security/"
2010/06/10 13:12:45| httpReadReply: Excess data from "GET http://www.lissyara.su/articles/freebsd/tuning/"

2)cache.log

Код: Выделить всё

2010/06/11 15:04:30| Failure Ratio at 1.02
2010/06/11 15:04:30| Going into hit-only-mode for 5 minutes...
2010/06/11 15:09:32| Failure Ratio at 1.26
2010/06/11 15:09:32| Going into hit-only-mode for 5 minutes...
2010/06/11 15:17:47| Failure Ratio at 1.01
2010/06/11 15:17:47| Going into hit-only-mode for 5 minutes...
2010/06/11 15:22:51| Failure Ratio at 1.28
2010/06/11 15:22:51| Going into hit-only-mode for 5 minutes...

тут ответ типа это норамально или как?
http://man.chinaunix.net/newsoft/squid/ ... ml#ss12.13

[terminus]

Еще разок закину удочки.

Выяснился интересный момент - cache deny не при чем. Проблема в аутентификации.
Сквид работает в связке с самбой и winbind. Настроены группы в AD - все работает.
Но с несколькими сайтами имеется это проблема - не проходит метод POST.

Сайты это специфические CMS системы для внутреннего/закрытого использования (адресов не привожу).

Когда юзер отсылает файл через форму то выглядит это так (отлуп по аутентификации):

Код: Выделить всё

1276593195.910    256 10.1.2.20 TCP_DENIED/407 4500 POST http://www.site.com/admin.php? - NONE/- text/html
1276593195.919      7 10.1.2.20 TCP_DENIED/407 4706 POST http://www.site.com/admin.php? - NONE/- text/html

Если же сделать дырку для метода POST

Код: Выделить всё

acl POST method POST
acl POST_whitelist dstdomain "/etc/squid/POST_whitelist.txt"
http_access allow POST POST_whitelist all

то тогда через нее все начинает бегать:

Код: Выделить всё

1276593290.237    438 10.1.2.20 TCP_MISS/200 6752 GET http://www.site.com/admin.php? USER01 DEFAULT_PARENT/10.1.4.2 text/html
1276593290.303      2 10.1.2.20 TCP_DENIED/407 4582 GET http://www.site.com/n.php - NONE/- text/html
1276593290.307      1 10.1.2.20 TCP_DENIED/407 4788 GET http://www.site.com/n.php - NONE/- text/html
1276593290.490    180 10.1.2.20 TCP_MISS/200 413 GET http://www.site.com/n.php USER01 DEFAULT_PARENT/10.1.4.2 text/html
1276593305.751  12342 10.1.2.20 TCP_MISS/302 817 POST http://www.site.com/admin.php? - DEFAULT_PARENT/10.1.4.2 text/html
1276593305.755      1 10.1.2.20 TCP_DENIED/407 4680 GET http://www.site.com/admin.php? - NONE/- text/html
1276593305.761      1 10.1.2.20 TCP_DENIED/407 4886 GET http://www.site.com/admin.php? - NONE/- text/html
1276593306.106    344 10.1.2.20 TCP_MISS/302 722 GET http://www.site.com/admin.php? USER01 DEFAULT_PARENT/10.1.4.2 text/html
1276593306.110      0 10.1.2.20 TCP_DENIED/407 4684 GET http://www.site.com/admin.php? - NONE/- text/html

причем если без дырки пробовать три-четыре раза послать файл, то он может проскочить, а может и нет...

Проблема в аутентификации запроса POST!

Я погуглил, но ничего конкретного не нашел, кроме жалоб на кривизну ntlm_auth и майкрософта.

У кого-нить есть идеи как забороть проблемы аутентификации поста?

[terminus]

Еще один вопрос на засыпку:

вот кусок конфига сквиды

Код: Выделить всё

1) http_access allow CONNECT HTTPS_DOMAINS_BLACKLIST WebVIP
2) http_access allow CONNECT Webusers_whitelist_domains Webusers

3) http_access allow localnetwork CONNECT SSL_ports

4) http_access allow CONNECT WebVIP
5) http_access allow CONNECT Webusers

сквид с авторизацией юзеров в АД. WebVIP и Webusers - групы юзеров.

Соль в том, что строки 1) и 2) срабатывают (в логе видны имена юзеров из домена и доступ у них есть), а как только убераешь 3) или ставишь 4-5) выше 3), то https отваливается у всех (ошибки 407 в логах)!

Какая-то мистика... Идеи есть?

[Антон]

Мне помогло включение в конфиг сквида этих опций:
client_persistent_connections off
server_persistent_connections off

Взял отсюда:
http://www.linux.org.ru/forum/admin/8747739