не работает squid на giga 3

Используем пакеты, расширяющие возможности оборудования
Аватара пользователя
Александр Рыжов
Сообщения: 304
Зарегистрирован: 12 авг 2015, 13:14
Откуда: Смоленск

Сообщение Александр Рыжов » 28 мар 2017, 09:01

emoxam писал(а):Источник цитаты Отличный подход. Скажите, а вы зачем вообще форум поднимали? Для кого?

Если мы не оправдали ваших ожиданий, то проблема исключительно в ваших ожиданиях: помощь и общение на форуме ведётся исключительно на добровольных началах. Если думаете, что авторы репозитория и\или форума вам чем-то обязаны, то вы сильно заблуждаетесь.

Что до squid, надо смотреть вывод strace при работе: за историю существования пакета squid уже было пару раз, когда на системе назначения просто не было требуемых для работы syscall'ов.

emoxam
Сообщения: 16
Зарегистрирован: 06 фев 2017, 15:35

Сообщение emoxam » 28 мар 2017, 13:36

Вернемся к первому посту. Вот есть отчет о том как настроил я. Что-то не так? Вы сами у себя проверяли сквид то?

emoxam
Сообщения: 16
Зарегистрирован: 06 фев 2017, 15:35

Сообщение emoxam » 28 мар 2017, 14:38

Да, privoxy я уговорил, и решил на нём свои задачи. Но момент принципа и азарта, для поддержания целостности портов требует разобраться.
До чего я только что допёр - долго открываются все https сайты. http же открываются пулей.
Изначально я пытался отталкиваться от дефолтного конфига, но потом взял с рабочей машины с FreeBSD, и перепелил конфиг под себя. Впрочем он оттого не сильно изменился.

При запуске сквида вылетали ошибки

Код: Выделить всё

mimeInit: /opt/etc/squid/mime.conf: (13) Permission denied

и

Код: Выделить всё

2017/03/28 14:22:23 kid1| Pinger socket opened on FD 27
2017/03/28 14:22:23| pinger: Initialising ICMP pinger ...
2017/03/28 14:22:23|  icmp_sock: (1) Operation not permitted
2017/03/28 14:22:23| pinger: Unable to start ICMP pinger.
2017/03/28 14:22:23|  icmp_sock: (1) Operation not permitted
2017/03/28 14:22:23| pinger: Unable to start ICMPv6 pinger.
2017/03/28 14:22:23| FATAL: pinger: Unable to open any ICMP sockets.


Решил их так

Код: Выделить всё

chown nobody /opt/etc/squid/mime.conf

и добавлением в конфиг вот такого.

Код: Выделить всё

pinger_enable off


Ошибки ушли.

Вот лог запуска сквида

Код: Выделить всё

2017/03/28 14:24:48| Current Directory is /opt/root
2017/03/28 14:24:48 kid1| Reconfiguring Squid Cache (version 3.5.12)...
2017/03/28 14:24:48 kid1| Closing HTTP port 192.168.0.1:3128
2017/03/28 14:24:48 kid1| Logfile: closing log stdio:/dev/null
2017/03/28 14:24:48 kid1| Logfile: closing log stdio:/opt/etc/squid/access.log
2017/03/28 14:24:48 kid1| Startup: Initializing Authentication Schemes ...
2017/03/28 14:24:48 kid1| Startup: Initialized Authentication.
2017/03/28 14:24:48 kid1| Processing Configuration File: /opt/etc/squid/squid.conf (depth 0)
2017/03/28 14:24:48 kid1| Initializing https proxy context
2017/03/28 14:24:48 kid1| Logfile: opening log stdio:/opt/etc/squid/access.log
2017/03/28 14:24:48 kid1| Squid plugin modules loaded: 0
2017/03/28 14:24:48 kid1| Adaptation support is off.
2017/03/28 14:24:48 kid1| Logfile: opening log stdio:/dev/null
2017/03/28 14:24:48 kid1| DNS Socket created at [::], FD 9
2017/03/28 14:24:48 kid1| DNS Socket created at 0.0.0.0, FD 10
2017/03/28 14:24:48 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2017/03/28 14:24:48 kid1| HTCP Disabled.
2017/03/28 14:24:48 kid1| Finished loading MIME types and icons.
2017/03/28 14:24:48 kid1| Accepting HTTP Socket connections at local=192.168.0.1:3128 remote=[::] FD 11 flags=9


А вот так открывался yandex.ru через IE

Код: Выделить всё

1490700303.467  59591 192.168.0.2 TAG_NONE/500 0 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700303.467  59593 192.168.0.2 TAG_NONE/500 0 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700303.467  59591 192.168.0.2 TAG_NONE/500 0 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700303.467  59591 192.168.0.2 TAG_NONE/500 0 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700303.470  59585 192.168.0.2 TAG_NONE/500 0 CONNECT mc.yandex.ru:443 - HIER_DIRECT/213.180.193.119 -
1490700303.474  59592 192.168.0.2 TAG_NONE/500 0 CONNECT yabs.yandex.ru:443 - HIER_DIRECT/87.250.250.91 -
1490700303.475  59587 192.168.0.2 TAG_NONE/500 0 CONNECT yabs.yandex.ru:443 - HIER_DIRECT/87.250.250.91 -
1490700304.080      2 192.168.0.2 TCP_MEM_HIT/200 693 GET http://www.bing.com/favicon.ico - HIER_NONE/- image/x-icon
1490700326.493  61253 192.168.0.2 TAG_NONE/500 0 CONNECT yandex.ru:443 - HIER_DIRECT/5.255.255.77 -
1490700377.645  76257 192.168.0.2 TCP_TUNNEL/200 37516 CONNECT yandex.ru:443 - HIER_DIRECT/5.255.255.77 -
1490700390.847  61784 192.168.0.2 TCP_TUNNEL/200 44335 CONNECT iecvlist.microsoft.com:443 - HIER_DIRECT/93.184.221.200 -
1490700423.511  60582 192.168.0.2 TCP_TUNNEL/200 34031 CONNECT mc.yandex.ru:443 - HIER_DIRECT/87.250.250.119 -
1490700423.517  60593 192.168.0.2 TCP_TUNNEL/200 6632 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700423.520  60598 192.168.0.2 TCP_TUNNEL/200 45289 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700423.529  60597 192.168.0.2 TCP_TUNNEL/200 6834 CONNECT yabs.yandex.ru:443 - HIER_DIRECT/87.250.250.91 -
1490700423.532  60604 192.168.0.2 TCP_TUNNEL/200 6890 CONNECT yabs.yandex.ru:443 - HIER_DIRECT/87.250.250.91 -
1490700423.539  60614 192.168.0.2 TCP_TUNNEL/200 169436 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700423.540  60616 192.168.0.2 TCP_TUNNEL/200 35173 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700483.505  59777 192.168.0.2 TCP_TUNNEL/200 1481 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700483.509  59776 192.168.0.2 TCP_TUNNEL/200 1256 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700483.514  59740 192.168.0.2 TCP_TUNNEL/200 3339 CONNECT www.tns-counter.ru:443 - HIER_DIRECT/194.226.130.228 -
1490700483.518  59788 192.168.0.2 TCP_TUNNEL/200 6777 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700483.520  59786 192.168.0.2 TCP_TUNNEL/200 6801 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700483.529  59739 192.168.0.2 TCP_TUNNEL/200 17731 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700483.533  59780 192.168.0.2 TCP_TUNNEL/200 7407 CONNECT mc.yandex.ru:443 - HIER_DIRECT/87.250.250.119 -
1490700483.540  60005 192.168.0.2 TCP_TUNNEL/200 31822 CONNECT avatars.mds.yandex.net:443 - HIER_DIRECT/87.250.247.183 -
1490700483.700  59965 192.168.0.2 TCP_TUNNEL/200 6811 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -
1490700486.710  62984 192.168.0.2 TCP_TUNNEL/200 22121 CONNECT avatars.mds.yandex.net:443 - HIER_DIRECT/87.250.247.183 -
1490700486.711  62951 192.168.0.2 TCP_TUNNEL/200 8620 CONNECT kiks.yandex.ru:443 - HIER_DIRECT/213.180.204.143 -
1490700486.711  59787 192.168.0.2 TCP_TUNNEL/200 6420 CONNECT awaps.yandex.net:443 - HIER_DIRECT/93.158.134.131 -
1490700486.711  60985 192.168.0.2 TCP_TUNNEL/200 6863 CONNECT yandex.ru:443 - HIER_DIRECT/77.88.55.77 -
1490700486.721  61545 192.168.0.2 TCP_TUNNEL/200 10718 CONNECT awaps.yandex.net:443 - HIER_DIRECT/93.158.134.131 -
1490700490.834  61008 192.168.0.2 TCP_TUNNEL/200 44684 CONNECT yastatic.net:443 - HIER_DIRECT/178.154.131.215 -


Он таки откроется, но минут через 3, как видно по логу. Пока он пыхтит я обычно занят чем то другим.

Поиск в bing не использует https и потому там страницы открываются пулей.
Собственно куда двигаться дальше не представляю, почитал про http://www.squid-cache.org/Doc/config/ssl_bump/
Но думаю это не про мой случай.
Последний раз редактировалось emoxam 28 мар 2017, 14:40, всего редактировалось 1 раз.

emoxam
Сообщения: 16
Зарегистрирован: 06 фев 2017, 15:35

Сообщение emoxam » 28 мар 2017, 14:40

Забыл - сам конфиг сквида

Код: Выделить всё

acl localnet src 192.168.0.0/24 # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

#http_access deny to_localhost

http_access allow localnet
http_access allow localhost

#http_access deny all

http_port 192.168.0.1:3128

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

visible_hostname Keenetic_Giga

access_log stdio:/opt/etc/squid/access.log squid
#cache_log /dev/null
cache_log /opt/etc/squid/cache.log
cache_store_log stdio:/dev/null
#cache_store_log stdio:/opt/etc/squid/store.log

pinger_enable off

Аватара пользователя
Zyxmon
Администратор
Сообщения: 1232
Зарегистрирован: 09 авг 2015, 14:33

Сообщение Zyxmon » 28 мар 2017, 14:56

emoxam писал(а):Источник цитаты Вы сами у себя проверяли сквид то?

Да, проверил. И логи пишет, и yandex работает (но ходит ли через squid - хз).

Код: Выделить всё

tail /opt/var/logs/access.log 
1490701714.170     10 10.0.0.158 TCP_MISS/200 1903 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.232 application/ocsp-response
1490701714.369     76 10.0.0.158 TCP_MISS/200 1891 POST http://tj.symcd.com/ - HIER_DIRECT/23.43.139.27 application/ocsp-response
1490701714.469     92 10.0.0.158 TCP_MISS/200 942 POST http://ocsp.digicert.com/ - HIER_DIRECT/93.184.220.29 application/ocsp-response
1490701714.602    223 10.0.0.158 TCP_MISS/200 987 POST http://ocsp.comodoca.com/ - HIER_DIRECT/178.255.83.1 application/ocsp-response
1490701717.390     19 10.0.0.158 TCP_MISS/200 1903 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.232 application/ocsp-response
1490701717.390     17 10.0.0.158 TCP_MISS/200 1903 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.232 application/ocsp-response
1490701717.390     17 10.0.0.158 TCP_MISS/200 1903 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.232 application/ocsp-response
1490701717.692     10 10.0.0.158 TCP_MISS/200 1903 POST http://yandex.ocsp-responder.com/ - HIER_DIRECT/5.45.205.232 application/ocsp-response
1490701717.863    289 10.0.0.158 TCP_MISS/200 2394 POST http://ocsp.godaddy.com/ - HIER_DIRECT/50.63.243.230 application/ocsp-response
1490701776.881     95 10.0.0.158 TCP_MISS/200 942 POST http://ocsp.digicert.com/ - HIER_DIRECT/93.184.220.29 application/ocsp-response

Конфиг - первый найденый в инете (выкинул из него авторизацию) всего 6 строк. Похож на Ваш, но только `http_access allow all`. Конфиг и squid стер - не нужны они мне. https не проверял. Может просто не хватает производительности (cpu)? Наверняка Вы уже отлично изучили squid и знаете его лучше меня, так что ничем больше не помогу. Жаль Вы другим не объяснеете построчно конфиг - зачем там все эти строки. Это была бы помощь от Вас другим.


Вернуться в «Entware/Qnapware/Optware/Zyxware - обсуждаем репозитории пакетов»

Кто сейчас на конференции

Всего 0 посетителей :: 0 зарегистрированных, 0 скрытых и 0 гостей (основано на активности пользователей за последние 5 минут)
Больше всего посетителей (121) здесь было 18 май 2016, 18:19

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей