[proxy server] squid probleempje - Linux en overige clients

donderdag 30 oktober 2003 20:07

Acties:

Verwijderd

Topicstarter

nog een poging mn log bestanden
en het betreffende stukkje squid.conf

access denied in de browser
geen id hoe ik dit op los

acl ory src 192.168.1.101/24

http_access allow ory

access.log
1067534111.390 3 192.168.1.101 TCP_DENIED/403 1021 GET http://www.nu.nl/ - NONE/- -
1067534111.578 3 192.168.1.101 TCP_DENIED/403 1021 GET http://www.nu.nl/ - NONE/- -
1067534111.759 13 192.168.1.101 TCP_DENIED/403 1021 GET http://www.nu.nl/ - NONE/- -
1067534112.328 3 192.168.1.101 TCP_DENIED/403 1021 GET http://www.nu.nl/ - NONE/- -
1067534113.146 3 192.168.1.101 TCP_DENIED/403 1021 GET http://www.nu.nl/ - NONE/- -
1067534228.691 17 192.168.1.101 TCP_DENIED/403 1021 GET http://www.nu.nl/ - NONE/- -

cache.log
2003/10/30 20:02:06| Restarting Squid Cache (version 2.4.STABLE6)...
2003/10/30 20:02:06| FD 8 Closing HTTP connection
2003/10/30 20:02:06| FD 9 Closing ICP connection
2003/10/30 20:02:06| Closing unlinkd pipe on FD 10
2003/10/30 20:02:06| squid.conf line 1424: acl CONNECT Method CONNECT
2003/10/30 20:02:06| aclParseAclLine: Invalid ACL type 'Method'
2003/10/30 20:02:06| squid.conf line 1460: http_access deny CONNECT !SSL_ports
2003/10/30 20:02:06| aclParseAccessLine: ACL name 'CONNECT' not found.
2003/10/30 20:02:06| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.1.101/255.255.255.0'
2003/10/30 20:02:06| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '213.84.176.221/255.255.255.0'
2003/10/30 20:02:06| DNS Socket created on FD 4
2003/10/30 20:02:06| Adding nameserver 62.108.1.69 from /etc/resolv.conf
2003/10/30 20:02:06| Adding nameserver 62.108.1.68 from /etc/resolv.conf
2003/10/30 20:02:06| Adding nameserver 62.108.1.67 from /etc/resolv.conf
2003/10/30 20:02:06| Unlinkd pipe opened on FD 10
2003/10/30 20:02:06| Accepting HTTP connections at 0.0.0.0, port 8080, FD 8.
2003/10/30 20:02:06| Accepting ICP messages at 0.0.0.0, port 3130, FD 9.
2003/10/30 20:02:06| HTCP Disabled.
2003/10/30 20:02:06| WCCP Disabled.
2003/10/30 20:02:06| Loaded Icons.
2003/10/30 20:02:06| Ready to serve requests.

cache.log
1067540679.538 RELEASE -1 FFFFFFFF 325C54826B8D9E2442AD4219E99B8C9C 403 -1 -1 -1 unknown -1/860 GET http://www.nu.nl/

[ Voor 3% gewijzigd door Verwijderd op 30-10-2003 20:07 ]

donderdag 30 oktober 2003 20:58

Acties:

arikkert

acl rules lijken ok, maar volgorde t.o.v. andere acl rules is ook van belang.
Heb je ze op de juiste plek toegevoegd ? nl bij de section
"# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS"

jouw regels

# And finally deny all other access to this proxy
http_access deny all

donderdag 30 oktober 2003 21:12

Acties:

Verwijderd

code:

1	2003/10/30 20:02:06\| aclParseIpData: WARNING: Netmask masks away part of the specified IP in '192.168.1.101/255.255.255.0'

Die is wat raar.. Probeer je acl eens op 192.168.0.0/24?

donderdag 30 oktober 2003 21:57

Acties:

Verwijderd

Topicstarter

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

acl ory src 192.168.0.0/24

http_access allow ory

http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all

geen resultaat helaas

[ Voor 6% gewijzigd door Verwijderd op 30-10-2003 21:57 ]

donderdag 30 oktober 2003 21:59

Acties:

Verwijderd

Hmm, oke... enige verschil met mijn conf is dat je niets over icmp (pingen dus) insteld... Misschien is dit wat?

Anders zou het iets anders moeten zijn in je squid.conf

donderdag 30 oktober 2003 22:01

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 30 oktober 2003 @ 21:59:
Hmm, oke... enige verschil met mijn conf is dat je niets over icmp (pingen dus) insteld... Misschien is dit wat?

Anders zou het iets anders moeten zijn in je squid.conf

wat heb jij veranderd dan t.o.v de default conf en dan dat icmp gedeelte

donderdag 30 oktober 2003 22:11

Acties:

Verwijderd

Weinig (tis ook al een tijd geleden)...

Voor icmp heb ik dezelfde instellingen als http... en ik heb dut stuk:

code:

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

Maar het is te lang geleden voor me om te bedenken waarin ik dit heb

_{gebruik sqiud om het moment ook niet}

donderdag 30 oktober 2003 22:30

Acties:

Verwijderd

Topicstarter

still nothing...somebody ervaring met dit probleem?

vrijdag 31 oktober 2003 12:19

Acties:

arikkert

probeer het debuggen eens andersom : allow all
en zet dan stap voor stap dichter zz.

vrijdag 31 oktober 2003 13:54

Acties:

Verwijderd

code:

acl localhost src 127.0.0.1/255.255.255.255
acl myhosts src 1.2.3.4/255.255.255.255
acl myhosts src 5.6.7.8/255.255.255.255

http_access allow localhost
http_access allow myhosts

bovenstaande regels zorgen dat localhost, 1.2.3.4 en 5.6.7.8 gebruik mogen maken van de proxy. Om een compleet subnet access te geven, zet je zoiets neer:

code:

1
2
3

acl mynetwork src 1.2.3.0/255.255.255.0

http_access allow mynetwork

[ Voor 44% gewijzigd door Verwijderd op 31-10-2003 13:58 ]

vrijdag 31 oktober 2003 13:55

Acties:

Verwijderd

Topicstarter

ik ben nu anders te werk gegaan heb http_access op allow all gezet geen resultaat ik heb op de server zelf getest dmv telnet geen resultaat...any id?

vrijdag 31 oktober 2003 14:01

Acties:

Verwijderd

Wat heb je getest dmv telnet? Of je de squid poort kunt bereiken? Of dat je een connectie door de proxy heen kunt opzetten. Tevens, hoe benader jij je proxy? Stel je handmatig het ip adres van de proxy in op alle clients, of heb je een transparent proxy (mbv wccp).

vrijdag 31 oktober 2003 14:04

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 31 oktober 2003 @ 14:01:
Wat heb je getest dmv telnet? Of je de squid poort kunt bereiken? Of dat je een connectie door de proxy heen kunt opzetten. Tevens, hoe benader jij je proxy? Stel je handmatig het ip adres van de proxy in op alle clients, of heb je een transparent proxy (mbv wccp).

ik heb dit gedaan

>telnet localhost 8080

telnet: GET http://www.nu.nl HTTP/1.0

ik heb geen transparent proxy

vrijdag 31 oktober 2003 15:04

Acties:

Verwijderd

Dat zou moeten werken. Weet je 100% zeker dat je de ACL entries hebt zoals in m'n eerste post heb staan?

vrijdag 31 oktober 2003 15:15

Acties:

arikkert

zo heb je idd nix aan squid

er is waarschijnlijk een squid client progje dat client heet, bij je squid applicatie.
daarmee kun je testen of je vanaf localhost de proxy kunt gebruiken.

[ Voor 7% gewijzigd door arikkert op 31-10-2003 15:17 ]

vrijdag 31 oktober 2003 15:27

Acties:

Verwijderd

arikkert schreef op 31 oktober 2003 @ 15:15:
zo heb je idd nix aan squid
er is waarschijnlijk een squid client progje dat client heet, bij je squid applicatie.
daarmee kun je testen of je vanaf localhost de proxy kunt gebruiken.

Waarom zou je op zo'n manier je proxy niet kunnen testen? Er word op de juiste manier http tegen de proxy gepraat...

Zonder proxy gebruik je dit:
GET /pagina.html HTTP/1.0

Met proxy gebruik je dit:
GET http://url.com/pagina.html HTTP/1.0

Werkt hier probleemloos als ik vanaf localhost naar mijn proxy connect met telnet.

[ Voor 13% gewijzigd door Verwijderd op 31-10-2003 15:33 ]

vrijdag 31 oktober 2003 15:38

Acties:

Verwijderd

Topicstarter

hij doet het!

acl CONNECT Method CONNECT

moet zijn

acl CONNECT method CONNECT

ik werk remote....
dus ik denk dat ik per ongeluk de ~ heb aangetikt ofzo daardoor werd de m uppercase