Tengo problemas con squid transparente.
-
Estoy realizando pruebas con pfsense y me gusto muchisimo, se ajusta bastante a lo que necesitamos en mi trabajo. El tema es que al realizar proxy transparente, tengo problemas con algunas paginas y no entiendo por que, si no existe nada bloqueado aún. Sin embargo cuando saco la transparencia del proxy al puerto 3128, todo funciona perfecto. Actualmente estoy teniendo problemas con hotmail, espero puedan ayudarme…
-
1; Version de pfsense?
2; Leer el archivo access.log, tu archivo de configuracion te indicara donde esta, /var/squid/log o ./logs
El GUI de pfsense no te muestra esto, tienes entrar a la consola, el anyterm tiene problemas, no corre del todo bien, por ello tendras entrarle a ssh.
Vas a ver algo asi: (Yo lo tengo en /var/squid/log/)
tail /var/squid/log/access.log
1314368138.170 8216 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.17/update/idx/master.idx - NONE/- text/html
1314368138.189 1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.17/update/idx/master.idx - NONE/- text/html
1314368138.194 1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.17/update/idx/master.idx - NONE/- text/html
1314368138.384 185 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.18/update/idx/master.idx - NONE/- text/html
1314368138.390 1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.18/update/idx/master.idx - NONE/- text/html
1314368138.395 1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.18/update/idx/master.idx - NONE/- text/html
1314370277.026 1 192.168.3.101 TCP_DENIED/403 1354 POST http://tools.google.com/service/update2? - NONE/- text/html
1314370277.036 0 192.168.3.101 TCP_DENIED/403 1314 CONNECT tools.google.com:443 - NONE/- text/html
1314373876.771 1 192.168.3.101 TCP_DENIED/403 1354 POST http://tools.google.com/service/update2? - NONE/- text/html
1314373876.777 0 192.168.3.101 TCP_DENIED/403 1314 CONNECT tools.google.com:443 - NONE/- text/htmlAhi puedo ver la palabra magica TCP_DENIED que dice que le estoy negando esa pagina a el usario 192.168.3.101.
Revisa y dices si tienes algo asi, saludos!!!
-
Acabo de realizar lo que me indicas y todo aparece bien. El asunto es que no tengo ninguna denegación en el squid, todo esta liberado pero aun así no puedo ver la pagina de hotmail como si no estubiera conectado, ningun error, simplemente no aparece. No se por que pero es la unica pagina con problemas.
tail /var/squid/log/access.log
1314798757.673 6735 192.168.23.12 TCP_MISS/200 3630 GET http://col.stb01.s-msn.com/i/8F/75A934AE8E8794D1D79E6774149BA.jpg - DIRECT/65.54.81.93 image/jpeg
1314798757.674 6518 192.168.23.12 TCP_MISS/200 3730 GET http://col.stb01.s-msn.com/i/8E/BB7F8DD746BF40B9AC1324EA37FE51.jpg - DIRECT/65.54.81.93 image/jpeg
1314798758.187 945 192.168.23.12 TCP_MISS/200 39435 GET http://col.stb01.s-msn.com/i/D5/B025565E7C288D8D11D8F549CE1DF.jpg - DIRECT/65.54.81.93 image/jpeg
1314798758.225 7278 192.168.23.12 TCP_MISS/200 3382 GET http://col.stb01.s-msn.com/i/51/C575C589DD752E9C915BC8AB605B3B.jpg - DIRECT/65.54.81.93 image/jpeg
1314798758.401 124 192.168.23.12 TCP_MISS/204 597 GET http://b.scorecardresearch.com/b? - DIRECT/204.2.241.162 -
1314798762.481 3987 192.168.23.12 TCP_MISS/200 10800 GET http://cl.msn.com/? - DIRECT/65.55.17.37 text/html
1314798763.343 833 192.168.23.12 TCP_MISS/200 19476 GET http://col.stb01.s-msn.com/i/29/DAA3EFA6760E931EB8078E6CF1092.jpg - DIRECT/65.54.81.101 image/jpeg
1314798765.695 199 192.168.23.12 TCP_MISS/200 12423 GET http://col.stb01.s-msn.com/i/F2/9E5BB212DDBDC15AFC6BE54BC66E.jpg - DIRECT/65.54.81.101 image/jpeg
1314798767.397 6 192.168.23.12 TCP_MISS/000 0 GET http://udc.msn.com/c.gif? - DIRECT/udc.msn.com -
1314798790.214 505 192.168.23.12 TCP_MISS/302 1789 GET http://www.hotmail.com/ - DIRECT/64.4.2.107 text/html -
Por si puede ayudarte:
http://wiki.squid-cache.org/SquidFaq/SquidLogs#HTTP_status_codes
-
Que tal.
TCP_MISS es cuando squid no tiene el objeto en su cache y tiene que ir por el directamente a el servidor destino por ello a el final pone DIRECT.
Ahora, dices que no tienes ninguna ACL o regla de sitios blequeados dados de alta?
Estamos hablando de una sola red? o hay mas?
v. de pfsense?
Puedes mostrar tu archivo de configuracion de favor: /usr/local/etc/squid/squid.conf
Saludos!!!
-
Gracias a todos por responder y ayudarme en este tema. Bueno, efectivamente no tengo ninguna regla activa. Actualmente estou trabajando con squid y squidguard y siempre me sucede lo mismo, sin embargo al sacarle la transparencia al proxy y configurar el explorador manualmente, todo bien y sin problemas. Es algo que me sucede solo con la transparencia y con hotmail por el momento.
La version del pfsense es "2.0-RC3 (i386) built on Tue Jun 21 16:50:25 EDT 2011"
Es una sola red y aqui esta la configuracion de mi squid:http_access allow whitelist
Setup allowed acls
Allow local network(s) on interface(s)
http_access allow localnet
Custom options
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3Default block all to be sure
http_access deny all
Gracias nuevamente a todos.
-
Creo que el problema no es squid, sino squidguard, te recomiendo empezar solo con squid, de ahi squidguard para empezar a dividir el problema.
Ahora si al deshabilitar squidguard sigue el problema, pones la configuracion completa.Squidguard no lo uso, pero viendo la config que muestras yo borraria estas lineas:
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
redirector_bypass on
redirect_children 3Y ejecutaria en consola:
squid -k reconfigure
Y probaria, creo que es la parte que manda llamar a squidguard.
Saludos!!!
-
Hola,
Yo por lo general instalo el squid solamente. Nada de squidguard, ni clamav. Pues si el equipo no tiene rendimiento adecuado se satura. Yo tengo squid (el paquete estable) y lightsquid, para los reportes de tráfico. Y trato que la tarjeta de red (LAN o WAN ) no sea la integrada, 2 pci son mejores y si las consigues Intel (mucho mejor transferencia y compatibilidad),…ah! que hago con la integrada (OPT1 para administrar pfSense sin cargar el tráfico ;))
Nuevo Equipo: Dell Dimension E510, 1.5Gb RAM, 2.6 Core Duo, 110 Gb HD , 2 pci (Intel Pro 10/100)
pfSense > 2.0-RC3
Reglas de Firewall activas (nada preconfigurado, todo manual)
:D squid 2.7(stable) modo transparente, log enable, log rotate =7
:D lightsquid (+60 min)Nueva capacidad, 30 terminales en trafico full, y aumentando ;D
¡pfSense bien configurado es una bendición para la red!