PfSense, не работает squidguard

Bloobus

Всем привет!
Нужна помощь знающих…
Имеется PfSense 2.1.5-RELEASE (amd64). До определённого дня связка squid+squidguard работала, но последние дни статус сервиса обозначен как запущен, при этом в логах пишет, что (/var/log/squidGuard.log):

2015-11-17 16:22:14 [94816] New setting: logdir: /var/squidGuard/log
2015-11-17 16:22:14 [94816] New setting: dbhome: /var/db/squidGuard
2015-11-17 16:22:14 [94816] init expressionlist /var/db/squidGuard/FileDownloadDeny/expressions
2015-11-17 16:22:14 [94816] init domainlist /var/db/squidGuard/SiteAccessDeny/domains
2015-11-17 16:22:14 [94816] create new dbfile /var/db/squidGuard/SiteAccessDeny/domains.db
2015-11-17 16:22:14 [94816] init urllist /var/db/squidGuard/SiteAccessDeny/urls
2015-11-17 16:22:14 [94816] create new dbfile /var/db/squidGuard/SiteAccessDeny/urls.db
2015-11-17 16:22:14 [94816] init expressionlist /var/db/squidGuard/SiteAccessDeny/expressions
2015-11-17 16:22:53 [12916] New setting: logdir: /var/squidGuard/log
2015-11-17 16:22:53 [12916] New setting: dbhome: /var/db/squidGuard
2015-11-17 16:22:53 [12916] init expressionlist /var/db/squidGuard/FileDownloadDeny/expressions
2015-11-17 16:22:53 [12916] init domainlist /var/db/squidGuard/SiteAccessDeny/domains
2015-11-17 16:22:53 [12916] create new dbfile /var/db/squidGuard/SiteAccessDeny/domains.db
2015-11-17 16:22:53 [12916] init urllist /var/db/squidGuard/SiteAccessDeny/urls
2015-11-17 16:22:53 [12916] create new dbfile /var/db/squidGuard/SiteAccessDeny/urls.db
2015-11-17 16:22:53 [12916] init expressionlist /var/db/squidGuard/SiteAccessDeny/expressions

В это же время в Filter Log:

17.11.2015 16:22:53 squidGuard stopped (1447766573.410)
17.11.2015 16:22:53 db update done
17.11.2015 16:22:53 squidGuard 1.4 started (1447766573.348)
17.11.2015 16:22:14 squidGuard stopped (1447766534.653)
17.11.2015 16:22:14 db update done
17.11.2015 16:22:14 squidGuard 1.4 started (1447766534.648)

В общем ошибок не выдаёт…, он стартует, база данных обновляется и он встаёт. Фильтрация не работает. Настройки по мануалам проверил, всё в норме.
У папки "/var/db" текущий владелец root, а у "/var/db/squidGuard" владелец proxy.

Помогите разобраться в чём может быть проблема?

werter

А место на диске не закончилось ?

Bloobus

Нет, показывает 3% занято из 443Gb.
Удалось запустить squidguard…отключил blacklist и стартует со статусом ready for request. Пробовал обновить blacklist - без толку, выдаёт при рестарте:
The following input errors were detected:

(DF3) ACL 'default' error: destination name 'blk_BL_anonvpn' not found
(DF3) ACL 'default' error: destination name 'blk_BL_porn' not found
(DF3) ACL 'default' error: destination name 'blk_BL_radiotv' not found
(DF3) ACL 'default' error: destination name 'blk_BL_redirector' not found
(DF3) ACL 'default' error: destination name 'blk_BL_socialnet' not found
(DF3) ACL 'default' error: destination name 'blk_BL_spyware' not found
(DF3) ACL 'default' error: destination name 'blk_BL_webradio' not found
(DF3) ACL 'default' error: destination name 'blk_BL_webtv' not found

Использую http://www.shallalist.de/Downloads/shallalist.tar.gz
Blacklist update Log:
Begin blacklist update
Start download.
Download archive http://www.shallalist.de/Downloads/shallalist.tar.gz
Download complete
Unpack archive
Scan blacklist categories.
Found 74 items.
Start rebuild DB.
Copy DB to workdir.
Reconfigure Squid proxy.
Blacklist update complete.

В db не хватает категорий по его мнению (т.к. на нём они есть - проверил по sftp), но он должен их при обновлении перестроить или нет?

Нашёл похожую тему https://forum.pfsense.org/index.php?topic=16884.0 , что имеется ввиду под пересохранением страницы по умолчанию?

Bloobus

Господа! ;) Кто-нибудь в состоянии подсказать в каком направлении копать…, а то squidguard я всё же запустил, но без blacklist (только со своими правилами). Это не айс(
Подскажите, плиз.

NegoroX

проблемы с железом
1. хард
2 память (контакты
3 БП
4 сетевые карты (контакты
легче взять и на другом железе запустить, 30 мин и все будет понятно.
(надеюсь конфиг слил?

Bloobus

Спасибо. До сбоя конфиг не сливал(, да он и не должен отличаться от текущего.
Не совсем понимаю какое отношении к железу имеет моё желание вкл. blacklist, остальное работает (подбивает логи, грузит blacklist, даёт человекам инет…). Что на другом железе будет понятно? Что железо тут не причём, а нужно где-то что-то подправить в настройках\структуре.
Подгрузил ему другой blacklist (http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist). В общем та же фигня, но нашел то на что он ругается при рестарте с отключенным blacklist - в файле "/usr/pbi/squidguard-amd64/etc/squidGuard/squidguard_conf.xml" создаётся запись выбранных для блокировки категорий и при отключении blacklist их список не чиститься, т.о. при рестарте он не обнаруживает этих категорий.

В общем продолжаю копать. Если будет возможность подниму сервак с нуля с текущим конфигом.

dvserg

@Bloobus:

Спасибо. До сбоя конфиг не сливал(, да он и не должен отличаться от текущего.
Не совсем понимаю какое отношении к железу имеет моё желание вкл. blacklist, остальное работает (подбивает логи, грузит blacklist, даёт человекам инет…). Что на другом железе будет понятно? Что железо тут не причём, а нужно где-то что-то подправить в настройках\структуре.
Подгрузил ему другой blacklist (http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist). В общем та же фигня, но нашел то на что он ругается при рестарте с отключенным blacklist - в файле "/usr/pbi/squidguard-amd64/etc/squidGuard/squidguard_conf.xml" создаётся запись выбранных для блокировки категорий и при отключении blacklist их список не чиститься, т.о. при рестарте он не обнаруживает этих категорий.

В общем продолжаю копать. Если будет возможность подниму сервак с нуля с текущим конфигом.

Он у Вас пытается найти дефолтный блэклист.
При подгрузке нового старый должен очищаться.
Для этого необходимо в GUI пройти по всем правилам и перенастроить их, после этого сохранить. После этого примените изменения.
Файл squidguard_conf.xml не на что не влияет! Это выгрузка слепка конфига для контроля.

Вообще при смене на другой источник блэклиста необходимо перенастраивать правила (что логично), так как в разных блэклистах разные категории.

Bloobus

@dvserg:

@Bloobus:

Спасибо. До сбоя конфиг не сливал(, да он и не должен отличаться от текущего.
Не совсем понимаю какое отношении к железу имеет моё желание вкл. blacklist, остальное работает (подбивает логи, грузит blacklist, даёт человекам инет…). Что на другом железе будет понятно? Что железо тут не причём, а нужно где-то что-то подправить в настройках\структуре.
Подгрузил ему другой blacklist (http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist). В общем та же фигня, но нашел то на что он ругается при рестарте с отключенным blacklist - в файле "/usr/pbi/squidguard-amd64/etc/squidGuard/squidguard_conf.xml" создаётся запись выбранных для блокировки категорий и при отключении blacklist их список не чиститься, т.о. при рестарте он не обнаруживает этих категорий.

В общем продолжаю копать. Если будет возможность подниму сервак с нуля с текущим конфигом.

Он у Вас пытается найти дефолтный блэклист.
При подгрузке нового старый должен очищаться.
Для этого необходимо в GUI пройти по всем правилам и перенастроить их, после этого сохранить. После этого примените изменения.
Файл squidguard_conf.xml не на что не влияет! Это выгрузка слепка конфига для контроля.

Вообще при смене на другой источник блэклиста необходимо перенастраивать правила (что логично), так как в разных блэклистах разные категории.

Наконец то)
Спасибо за разъяснение.
В общем делаю следующее:

включаю использование blacklist в general setings, жму save
захожу в common acl и указываю что из категорий блокировать/не блокировать, жму save
в general setings жму apply
Никаких ошибок не выдаёт.
В логах пишет следующее:
25.11.2015 12:45:08 squidGuard stopped (1448444708.539)
25.11.2015 12:45:08 db update done
25.11.2015 12:45:08 squidGuard 1.4 started (1448444708.534)

Стоит мне отключить использование blacklist, то всё стартует с squidGuard ready for requests
Ещё заметил при старте pfsense появляется сообщение (в т.ч. при старте squidguard):
Bump sched buckets to 256 (was 0)

Подскажи, пжл, что с этим делать?

pigbrother

Bump sched buckets to 256 (was 0)

Лимитер не пытались использовать?

Bloobus

@pigbrother:

Bump sched buckets to 256 (was 0)

Лимитер не пытались использовать?

Лично я не настраивал. Кто до меня работал тоже), а вот кто до него работал видимо да:
есть 4 правила - 2 на входящий и 2 на исходящий трафик.

werter

У Вас прокси в каком режиме - в прозрачном или нет ?
Если в непрозрачном - отключите ssl interception.

https://forum.pfsense.org/index.php?topic=100850.0

Bloobus

@werter:

У Вас прокси в каком режиме - в прозрачном или нет ?
Если в непрозрачном - отключите ssl interception.

https://forum.pfsense.org/index.php?topic=100850.0

Режим transparent proxy включен.

pigbrother

Лично я не настраивал. Кто до меня работал тоже), а вот кто до него работал видимо да:
есть 4 правила - 2 на входящий и 2 на исходящий трафик.

Тогда Bump sched buckets - на 99% результат наличия лимитера. Причем эти сообщения могут появляться даже если лимитер не задействован, а просто создан.

Bloobus

Спасибо.
Хорошо с "Bump sched buckets to 256 (was 0)" разобрались.

А что может давать сбой и отключать squidguard при попытке использования blacklist?

Bloobus

Короче поднял на виртуалке эту же версию PfSense, подсунул ему конфиг с моего текущего -> подгрузил пакеты -> подгрузил blacklist и… он так же встаёт))):
30.11.2015 12:26:21 squidGuard stopped (1448875581.250)
30.11.2015 12:26:21 db update done
30.11.2015 12:26:21 squidGuard 1.4 started (1448875581.243)

Что это и как это назвать то? И главное что с этим делать???

Bloobus

Судя по ps ax|grep squid, сам squidquard работает:
56942 ?? Is 0:00.00 /usr/pbi/squid-amd64/sbin/squid -D
76000 ?? S 0:00.38 (squidGuard) -c /usr/pbi/squidguard-amd64/etc/squidGu
76056 ?? I 0:00.01 (squidGuard) -c /usr/pbi/squidguard-amd64/etc/squidGu
76239 ?? I 0:00.01 (squidGuard) -c /usr/pbi/squidguard-amd64/etc/squidGu
76394 ?? I 0:00.00 (squidGuard) -c /usr/pbi/squidguard-amd64/etc/squidGu
76446 ?? I 0:00.00 (squidGuard) -c /usr/pbi/squidguard-amd64/etc/squidGu
86256 ?? S 10:44.33 (squid) -D (squid)
8332 0 S+ 0:00.00 grep squid

По правам:
ps aux|grep squid
root 56942 0.0 0.1 16312 5504 ?? Is Wed12PM 0:00.00 /usr/pbi/squid-amd64/sbin/squid
proxy 76000 0.0 0.1 15396 3132 ?? S 12:00AM 0:01.16 (squidGuard) -c /usr/pbi/squidgu
proxy 76056 0.0 0.1 15396 3124 ?? I 12:00AM 0:00.01 (squidGuard) -c /usr/pbi/squidgu
proxy 76239 0.0 0.1 15396 3124 ?? I 12:00AM 0:00.01 (squidGuard) -c /usr/pbi/squidgu
proxy 76394 0.0 0.1 15396 3116 ?? I 12:00AM 0:00.00 (squidGuard) -c /usr/pbi/squidgu
proxy 76446 0.0 0.1 15396 3116 ?? I 12:00AM 0:00.00 (squidGuard) -c /usr/pbi/squidgu
proxy 86256 0.0 1.1 57272 41588 ?? S Thu04PM 11:37.97 (squid) -D (squid)
root 28555 0.0 0.0 9068 1468 0 S+ 11:20AM 0:00.00 grep squid

Конфиг выложил в облако (https://cloud.mail.ru/public/7qdS/GdY2DYe12). Я не рассмотрел в нём ошибки…посмотрите кто разбирается, подскажите плиз!

dvserg

@Bloobus:

Короче поднял на виртуалке эту же версию PfSense, подсунул ему конфиг с моего текущего -> подгрузил пакеты -> подгрузил blacklist и… он так же встаёт))):
30.11.2015 12:26:21 squidGuard stopped (1448875581.250) - остановка
30.11.2015 12:26:21 db update done - апдейт БД блэклиста
30.11.2015 12:26:21 squidGuard 1.4 started (1448875581.243) - ЗАПУСК

Что это и как это назвать то? И главное что с этим делать???

Где же он встаёт? Это логи скрипта GUI. Логи самого SquidGuard так-же смотрите.

Bloobus

Ведь по хронологии:
30.11.2015 12:26:21 squidGuard stopped (1448875581.250) - остановка
30.11.2015 12:26:21 db update done - апдейт БД блэклиста
30.11.2015 12:26:21 squidGuard 1.4 started (1448875581.243) - ЗАПУСК

243 событие раньше чем 250 происходит.

default666

Может другой черный список попробовать?
http://urlblacklist.com/?sec=download

Bloobus

@Bloobus:

…Подгрузил ему другой blacklist (http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist). В общем та же фигня...

Пробовал уже…