Problemas Squid

perucio
(usa Debian)

Enviado em 18/12/2013 - 17:47h

Já tinha feito, coloquei todos os IPs que ligam nesse site e nada ...
to achando que é bug dessa versão 3 ....

perucio
(usa Debian)

Enviado em 18/12/2013 - 17:54h

Comentei ela e agora a captcha de baixo que abria, não está abrindo mais.

Buckminster
(usa Debian)

Enviado em 18/12/2013 - 18:09h

Ok. Isso diz bastante coisa.
Estou analisando teu squid.conf.
Depois te retorno.

Os HITS ou outra coisa diferente de MISS começaram a aparecer nos logs com a ACL miss_access comentada?

perucio
(usa Debian)

Enviado em 18/12/2013 - 18:38h

Não entendo o que acontece agora, hora ele passa ora ele bloqueia:

1387399005.798 13 192.168.200.150 TCP_MISS/304 345 GET http://www.ipva.fazenda.pr.gov.br/img/img2.jpg diogo.perucio DIRECT/200.189.123.185 -
1387399011.048 160 192.168.200.150 TCP_MISS/200 2872 GET http://www.sintegra.fazenda.pr.gov.br/sintegra/captcha? diogo.perucio DIRECT/200.189.113.33 image/jpeg
1387399011.344 293 192.168.200.150 TCP_MISS/200 2528 GET http://www.sintegra.fazenda.pr.gov.br/sintegra/captcha? diogo.perucio DIRECT/200.189.113.33 image/jpeg
1387399011.501 153 192.168.200.150 TCP_MISS/200 2976 GET http://www.sintegra.fazenda.pr.gov.br/sintegra/captcha? diogo.perucio DIRECT/200.189.113.33 image/jpeg
1387399018.810 0 192.168.200.150 TCP_DENIED/407 4232 GET http://www.sintegra.fazenda.pr.gov.br/sintegra/captcha? - NONE/- text/html
1387399018.831 0 192.168.200.150 TCP_DENIED/407 4574 GET http://www.sintegra.fazenda.pr.gov.br/sintegra/captcha? - NONE/- text/html
1387399019.013 170 192.168.200.150 TCP_MISS/200 2933 GET http://www.sintegra.fazenda.pr.gov.br/sintegra/captcha? diogo.perucio DIRECT/200.189.113.33 image/jpeg

Buckminster
(usa Debian)

Enviado em 18/12/2013 - 18:45h

Teste esse squid.conf aqui, somente alterei a ordem das ACLs e acrescentei algumas relativas ao cache (não mexi nas tuas ACLs). Coloque esse squid.conf, pare o Squid, refaça o cache com squid -z e reinicie ele, reinicie a máquina e teste a navegação.

Somente fiquei em dúvida com a ACL acl sites_locais dst 192.168.200.5, acredito que nela deve ir um domínio e não um IP, mas deixei ela assim.
Qualquer dúvida execute squid -k parse para ver se tem algum erro de digitação no arquivo.
Poste um retorno do que acontecer:

http_port 192.168.200.214:3128
# hierarchy_stoplist cgi-bin ?

# Essas 7 opções abaixo eu deixei no padrão, teste assim mesmo e depois adaptaremos para você de acordo com a quantidade de cache que você irá destinar na memória e no disco.
cache_mem 256 MB
maximum_object_size_in_memory 512 KB
cache_dir aufs /etc/squid3/var/cache/squid 5120 16 256
minimum_object_size 0 KB
maximum_object_size 4 MB
cache_swap_low 90
cache_swap_high 95

# ACLs
# acl rede_interna src 192.168.200.0/24
# acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

# portas seguras
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http
acl Safe_ports port 8080 # tomcat
acl Safe_ports port 8443 # tomcat - ssl
acl Safe_ports port 10000 # webmin
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 631 # cups
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 2083 # CPANEL
acl Safe_ports port 2631 # Conectividade Social
acl Safe_ports port 1494 # Sigov
acl Safe_ports port 8333 # WMWARE SERVER
acl Safe_ports port 3401 # snmpro
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

# acl purge method PURGE

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Autentica com o AD
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers

acl ipliberado src "/etc/squid3/acls/ip_liberados.txt"

acl intranet_EMPRESA dstdomain intranet.EMPRESA
acl informatica_EMPRESA dstdomain informatica.EMPRESA
acl qualidoc_EMPRESA dstdomain qualidoc.EMPRESA

acl ip-bloqueado src "/etc/squid3/acls/ip-bloqueado"
acl sites_deny dstdomain -i "/etc/squid3/acls/sites-proibidos"
acl dominios_liberados url_regex -i "/etc/squid3/acls/dominios_liberados"
acl sites_allow url_regex "/etc/squid3/acls/sites-permitidos"
acl caixa dstdomain -i .caixa.gov.br
acl palavras_deny url_regex -i "/etc/squid3/acls/palavras-deny"
acl palavras_allow url_regex -i "/etc/squid3/acls/palavras-allow"
acl update dstdomain -i Windowsupdate.microsoft.com au.download.Windowsupdate.com
acl sites_locais dst 192.168.200.5

http_access deny ip-bloqueado
http_access deny palavras_deny
http_access deny sites_deny

acl snmpro snmp_community local
snmp_access allow snmpro all
snmp_port 3401

http_access allow caixa
always_direct allow caixa
http_access allow ipliberado
http_access allow dominios_liberados
#http_access allow diretoria
http_access allow intranet_EMPRESA
http_access allow informatica_EMPRESA
http_access allow qualidoc_EMPRESA
# http_access allow update
# miss_access allow all
http_access deny all

# Logs
access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache_mgr ti@EMPRESA.com.br
visible_hostname proxy.EMPRESA.net
error_directory /usr/share/squid3/errors/Portuguese
coredump_dir /var/spool/squid3

perucio
(usa Debian)

Enviado em 18/12/2013 - 18:59h

Cara deu um monte de erros:

[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
/etc/init.d/squid3: 72: cd: can't cd to /etc/squid3/var/cache/squid
2013/12/18 18:55:52| aclParseAclList: ACL name 'manager' not found.
FATAL: Bungled squid.conf line 60: http_access allow manager localhost
Squid Cache (Version 3.1.20): Terminated abnormally.
CPU Usage: 0.008 seconds = 0.008 user + 0.000 sys
Maximum Resident Size: 15376 KB
Page faults with physical i/o: 12
failed!
root@tor-srv04:/etc/squid3# /etc/init.d/squid3 restart
[....] Restarting Squid HTTP Proxy 3.x: squid3^C
root@tor-srv04:/etc/squid3# /etc/init.d/squid3 start
[....] Starting Squid HTTP Proxy 3.x: squid3/etc/init.d/squid3: 72: cd: can't cd to /etc/squid3/var/cache/squid
2013/12/18 18:57:06| aclParseAclList: ACL name 'purge' not found.
FATAL: Bungled squid.conf line 63: http_access allow purge localhost
Squid Cache (Version 3.1.20): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.000 user + 0.004 sys
Maximum Resident Size: 15392 KB
Page faults with physical i/o: 0
failed!
root@tor-srv04:/etc/squid3# /etc/init.d/squid3 start
[....] Starting Squid HTTP Proxy 3.x: squid3/etc/init.d/squid3: 72: cd: can't cd to /etc/squid3/var/cache/squid
2013/12/18 18:57:22| aclParseAclList: ACL name 'purge' not found.
FATAL: Bungled squid.conf line 64: http_access deny purge
Squid Cache (Version 3.1.20): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.004 user + 0.000 sys
Maximum Resident Size: 15408 KB
Page faults with physical i/o: 0
failed!

Buckminster
(usa Debian)

Enviado em 18/12/2013 - 23:34h

Ok. Não se assuste e comenta essas 4 linhas abaixo, execute squid -z e reinicie o Squid. Os erros estão dizendo que as ACLs "manager" e "purge" não foram encontradas. Depois a gente vê isso:

http_access allow manager localhost
http_access deny manager

http_access allow purge localhost
http_access deny purge

E acrescenta essa ACl http_access allow localhost, assim:

http_access allow localhost
http_access deny all

E pode comentar essas linhas:
acl localhost src 127.0.0.1/32 << a partir da versão 3 o Squid cria essas ACLs automaticamente bastando colocar depois http_access allow ou deny.
acl to_localhost dst 127.0.0.0/8


E executa squid -v ou squid --version ou squid3 -v ou squid3 --version e posta aqui a versão completa do teu Squid.

Buckminster
(usa Debian)

Enviado em 19/12/2013 - 09:02h

Está dando algum problema no tópico. Tem 67 comentários e aparece 66.

(agora 68).

perucio
(usa Debian)

Enviado em 19/12/2013 - 09:38h

olha:

root@tor-srv04:/etc/squid3# /etc/init.d/squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
/etc/init.d/squid3: 72: cd: can't cd to /etc/squid3/var/cache/squid
2013/12/19 09:36:58| aclParseAclList: ACL name 'localhost' not found.
FATAL: Bungled squid.conf line 40: http_access allow localhost
Squid Cache (Version 3.1.20): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.000 user + 0.004 sys
Maximum Resident Size: 15328 KB
Page faults with physical i/o: 0
failed!
root@tor-srv04:/etc/squid3# vim squid.conf
root@tor-srv04:/etc/squid3# vim squid.conf
root@tor-srv04:/etc/squid3# /etc/init.d/squid3 start
[....] Starting Squid HTTP Proxy 3.x: squid3/etc/init.d/squid3: 72: cd: can't cd to /etc/squid3/var/cache/squid
2013/12/19 09:37:23| aclParseAclList: ACL name 'CONNECT' not found.
FATAL: Bungled squid.conf line 46: http_access deny CONNECT !SSL_ports
Squid Cache (Version 3.1.20): Terminated abnormally.
CPU Usage: 0.004 seconds = 0.000 user + 0.004 sys
Maximum Resident Size: 15312 KB
Page faults with physical i/o: 0
failed!


root@tor-srv04:/etc/squid3# squid3 -v
Squid Cache: Version 3.1.20
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/build/buildd-squid3_3.1.20-2.2-i386-3NN6Xn/squid3-3.1.20

Buckminster
(usa Debian)

Enviado em 19/12/2013 - 10:09h

Você executou squid -z?

perucio
(usa Debian)

Enviado em 19/12/2013 - 10:12h

Sim, ainda movi as pastas do /var/spool/squid3 também ....

Buckminster
(usa Debian)

Enviado em 19/12/2013 - 10:50h

Você quis dizer que aqui cache_dir aufs /etc/squid3/var/cache/squid 5120 16 256 você colocou /var/spool/squid3 antes de executar squid -z, ou simplesmente copiou e colou as pastas dentro de /etc/squid3/var/cache/squid?

Por que é o seguinte: quando for para gerar o cache de novo você pode apagar tudo o que estiver dentro de /var/spool/squid3 (se essa é a tua preferência para o cache) pode até remover a pasta squid3 inteira, que no squid -z ele cria ela de novo e gera o cache dentro.

Mas daí a regra deve ficar assim cache_dir aufs /var/spool/squid3 5120 16 256.

Por isso é importante gerar o cache correto na primeira vez.

A conselho você a apagar tudo dentro da pasta squid3 em /var/spool/squid3, não precisa apagar a pasta, somente apague o conteúdo e execute squid -z.
Se essa pasta não existir, crie ela vazia e depois execute squid -z.