Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [SQUID] probleme TCP_MISS/403

    Scheduled Pinned Locked Moved Français
    17 Posts 3 Posters 3.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      killpilot
      last edited by killpilot

      bonjour à tous,

      je viens solliciter votre aide sur un soucis de conf SQUID.

      Contexte : je suis un particulier avec une pfsense chez moi, installée sur un petit PC dans une baie info, je suis pas un expert reseau mais je me defend... dans la vie je suis devops/architect AWS

      Besoin : je me suis rendu compte qu'une fonctionnalité de VoIP dans un de mes jeux ne fonctionnait pas.

      Schéma : mon installation est grosso merdo :
      Fibre orange -> convertisseur opto-numerique -> Livebox -> pfsense -> switch avec VLAN (4 reseaux)

      LAN :

      j'ai 4 VLAN LAN sur le switch reseau d'interco -> WAN (pfsense) - 192.168.5.0/24
      NOT_SECURE -> LAN (pfsense) - 192.168.2.0/24
      SECURE -> LAN_S (pfsense) - 192.168.3.0/24
      WIFI_GUEST -> GUEST (pfsense) - 192.168.4.0/24

      pour l'ensemble de ces VLAN (sauf WAN) c'est la pfsense qui fait DHCP, DNS, etc.. pour le WAN c'est la livebox qui fait DHCP

      Règles NAT : vu que c'est un soucis squid je pense pas que ca soit la peine de detailler les regles, mais si besoin je le ferai

      Règles Firewall : vu que c'est un soucis squid je pense pas que ca soit la peine de detailler les regles, mais si besoin je le ferai

      Packages ajoutés : notamement celui la
      squid www 0.4.44_9 ( squidclamav-6.16  squid_radius_auth-1.10  squid-3.5.27_3  c-icap-modules-0.5.3_1 )

      Autres fonctions assignées au pfSense : j'ai effectivement un portai captif, un serveur VPN, etc... mais je ne pense pas que ca rentre en compte avec mon soucis squid mais pareil si besoin je detaillerai

      Question :
      lorsque je tente d'ouvrir une session de Voip dans mon jeux cela ne fonctionne pas, apres avoir effectuer des capture de traffic sur le pc je me suis rendu compte que SQUID repondait Acces denied, et effectivement dans les logs de squid je vois effectivement des
      02.01.2020 14:42:15 192.168.2.2 TCP_MISS/403 http://foip-v00.robertsspaceindustries.com/ - 54.205.87.8

      je tente donc de trouver la configuration qui me permettra de ne plus etre bloqué par squid pour utiliser cette feature.

      Logs et tests : j'ai donc effectuer plusieurs test:
      1 - desactiver squid, RESULTAT: et effectivement une fois squid desactivé ca fonctionne, mais je ne souhaite pas le desactiv
      2 - rajouter dans l'onglet ACLs dans le bloc whitelist une regex " ^..robertsspaceindustries.com$ " - RESULTAT: aucun changement j'ai toujours des 403 et ca ne marche toujours pas.
      3- rajouter dans l'onglet general de squid dans le champ "Bypass Proxy for These Destination IPs", l'url de mon site a savoir "robertsspaceindustries.com" - RESULTAT : pareil aucun changement toujours des 403
      4 - clamav is active, in the advanced conf i add this line in squidclamav.conf "whitelist ^.      .robertsspaceindustries.com$" and " abort ^.*.robertsspaceindustries.com$ " - RESULTAT pareil aucun changement.
      5 - rajouter en dernier test dans custom option before auth

      acl voip_rsi dstdomain .robertsspaceindustries.com
      always_direct allow voip_rsi
      cache deny voip_rsi
      http_access allow voip_rsi

      pareil aucun changement toujours des 403.... et j'en suis la.....

      est ce que quelqu'un aurai une idée de la bonne configuration a mettre en place pour solutionner mon soucis ? merci d'avance de votre aide,

      bonne année à tous.

      1 Reply Last reply Reply Quote 0
      • K
        killpilot
        last edited by

        voici mon fichier squid.conf

        ===group

        # This file is automatically generated by pfSense
# Do not edit manually !

http_port 192.168.2.1:3128
http_port 192.168.4.1:3128
http_port 192.168.8.1:3128
http_port 127.0.0.1:3128 intercept
icp_port 0
digest_generation off
dns_v4_first off
pid_filename /var/run/squid/squid.pid
cache_effective_user squid
cache_effective_group proxy
error_default_language fr
icon_directory /usr/local/etc/squid/icons
visible_hostname localhost
cache_mgr xxxxxxxxxxxxxxxx
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none
netdb_filename /var/squid/logs/netdb.state
pinger_enable on
pinger_program /usr/local/libexec/squid/pinger

logfile_rotate 7
debug_options rotate=7
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  192.168.2.0/24 192.168.4.0/24 192.168.8.0/24
forwarded_for on
httpd_suppress_version_string on
uri_whitespace strip


cache_mem 64 MB
maximum_object_size_in_memory 256 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
minimum_object_size 0 KB
maximum_object_size 10 MB
cache_dir ufs /var/squid/cache 1024 16 256
offline_mode off
cache_swap_low 90
cache_swap_high 95
acl donotcache dstdomain "/var/squid/acl/donotcache.acl"
cache deny donotcache
cache allow all
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:    1440  20%  10080
refresh_pattern ^gopher:  1440  0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
refresh_pattern .    0  20%  4320


#Remote proxies


# Setup some default acls
# ACLs all, manager, localhost, and to_localhost are predefined.
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 9443 3128 3129 1025-65535 
acl sslports port 443 563 9443 

acl purge method PURGE
acl connect method CONNECT

# Define protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
acl unrestricted_hosts src "/var/squid/acl/unrestricted_hosts.acl"
acl whitelist dstdom_regex -i "/var/squid/acl/whitelist.acl"
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
# Do not throttle unrestricted hosts
delay_access 1 deny unrestricted_hosts
delay_access 1 allow allsrc

# Reverse Proxy settings
acl rvm_uri_proxmox url_regex -i proxmox.killpilot.fr
never_direct allow rvm_uri_proxmox
http_access allow rvm_uri_proxmox


# Custom options before auth
acl voip_rsi dstdomain .robertsspaceindustries.com
always_direct allow voip_rsi
cache deny voip_rsi
http_access allow voip_rsi

# These hosts do not have any restrictions
http_access allow unrestricted_hosts
# Always allow access to whitelist domains
http_access allow whitelist
# Setup allowed ACLs
# Allow local network(s) on interface(s)
http_access allow localnet
# Default block all to be sure
http_access deny allsrc

icap_enable on
icap_send_client_ip off
icap_send_client_username off
icap_client_username_encode off
icap_client_username_header X-Authenticated-User
icap_preview_enable on
icap_preview_size 1024

icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
adaptation_access service_avi_req allow all
icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
adaptation_access service_avi_resp allow all

        ===

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by jdh

          (Bravo pour cette présentation : il y a des infos, y compris un fichier de conf ! En plus vous avez une excellente méthode : décrire, observer, réfléchir, rechercher, essayer : vous faites des essais logiques : exemple avec les acl ! Continuez !)

          (Nb : la syntaxe d'un acl dstdomain nécessite-t-elle le . ? Je n'en suis pas sûr. Une autre possibilité : entrer le nom dans '/var/squid/acl/whitelist.acl' : la ligne est là pour ça !)

          Je vois la ligne 'http_port 127.0.0.1:3128 intercept', je suppose, donc, que Squid est en mode transparent, ce qui n'est pas idéal.

          Avez vous fait l'essai de désactiver le mode transparent et de configurer les navigateurs en proxy déclaré ? (Et l'idéal sera d'utiliser WPAD pour ne pas avoir à configurer les navigateurs !)

          (Nb : le proxy transparent ne fonctionne que pour le port 80 = http)

          Il est peut-être stupide d'essayer avec le fichier '/var/squid/acl/donotcache.acl', mais cela peut-être aussi essayé. Quoique la voIp n'a sûrement pas à être 'cachée'.

          Autre idée : écrire une règle explicite (Firewall > Rules) pour ce site (via les ip du sites). L'appli n'aura du coup pas besoin d'avoir une définition de proxy.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • K
            killpilot
            last edited by killpilot

            bah à force de patoger, si on veut trouver de l'aide rapidement et sympathiquement, faut essayer de bien presenter les choses, que les gens qui passent du temps a répondre puisse le faire sans perdre de temps...

            a cause de certains elements de mon reseau je ne peux pas activer de proxy non transparent... du coup je ne peux pas agir sur ce point la, apres le but de squid dans mon cas etait biensur le cache.. mais surtout la protection anti virus et la protection de phishing etc.. par des liste google ou autre... et c'est surtout ces fonctionnalité que je ne souhaites pas perdre.

            concernant la syntaxe j'ai essayé avec ou sans le point et pareil...
            j'ai tente une desinstall et reinstall pareil...

            apres je me dis que mon soucis vient peut etre des web socket j'ai testé sur le site http://websocket.org/echo.html
            et j'ai effectivement des erreurs, et du coup je me dit que la VoIP se base surement/peut etre sur les web socket et que c'est peut etre pour ca que ca ne passe pas.... je fais toujours des tests pour l'instant sans resultat...

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by jdh

              'si on veut trouver de l'aide rapidement et sympathiquement, faut essayer de bien presenter les choses, que les gens qui passent du temps a repondre puisse le faire sans perdre de temps...' Cela est le plus élémentaire bon sens, bravo !

              La ligne 'acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 9443 3128 3129 1025-65535' est troublante, en particulier '1025-65535'.
              Elle revient à configurer Squid afin qu'il fonctionne sur tous les ports possibles, ce qui est loin d'être la norme.

              A minima, j'excluerai 5060 et 5061 (SIP en tcp, alors que normalement SIP est en udp). Je ferai l'essai de supprimer cet affreux '1025-65535'.

              Je regarderai ce site de jeux pour connaitre les ports utilisés et je les supprimerai de squid.conf (sauf les usuels 80,443). Il doit bien y avoir des réponses avec '(le jeu) firewall port' ...

              Je rappelle que le proxy transparent ne fonctionne que sur http (80/tcp),

              web socket ? plutôt 'proxy socks' ?

              pfSense est capable de fournir les ports utilisés avec nmap + limitation sur l'ip de la machine (sans le proxy actif bien sûr).

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              K 1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by jdh

                Dans Support on trouve 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110', j'ajouterais fonc forcément une règle de sortie autorisant ces ports (vers any car je suppose que l'éditeur dispose de plusieurs ip publiques). (Mais c'est sans doute déjà fait ?).

                On trouve aussi 'Proxy services are turned off, disabled, or properly configured'. Je le comprends en définissant de façon explicite : ip de pfsense + 3128. Ce sera toujours meilleur que du tranparent.

                (Nb : ce n'est pas parce que le proxy est transparent ... qu'il ne peut pas être défini explicitement !)

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • K
                  killpilot @jdh
                  last edited by

                  @jdh said in [SQUID] probleme TCP_MISS/403:

                  'si on veut trouver de l'aide rapidement et sympathiquement, faut essayer de bien presenter les choses, que les gens qui passent du temps a repondre puisse le faire sans perdre de temps...' Cela est le plus élémentaire bon sens, bravo !

                  La ligne 'acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 9443 3128 3129 1025-65535' est troublante, en particulier '1025-65535'.
                  Elle revient à configurer Squid afin qu'il fonctionne sur tous les ports possibles, ce qui est loin d'être la norme.

                  A minima, j'excluerai 5060 et 5061 (SIP en tcp, alors que normalement SIP est en udp). Je ferai l'essai de supprimer cet affreux '1025-65535'.

                  Je regarderai ce site de jeux pour connaitre les ports utilisés et je les supprimerai de squid.conf (sauf les usuels 80,443). Il doit bien y avoir des réponses avec '(le jeu) firewall port' ...

                  Je rappelle que le proxy transparent ne fonctionne que sur http (80/tcp),

                  web socket ? plutôt 'proxy socks' ?

                  pfSense est capable de fournir les ports utilisés avec nmap + limitation sur l'ip de la machine (sans le proxy actif bien sûr).

                  je n'ai pas fait de conf explicite en ce sens je vais moi aussi regarder comment affiner ca au mieux..
                  pour le jeu il s'agit du jeu star citizen, mais j'ai deja effectué quelques recherches sur le sujets sans rien trouver d'interessant... etant encore alpha ce genre d'infos sont encore peu nombreuses.

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by jdh

                    Les posts se croisent ... j'ai cherché et donné quelques pistes possibles à tester avant ce post ...

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • K
                      killpilot
                      last edited by

                      alors dans l'ordre: il est marqué dans la GUI
                      Default list: 21 70 80 210 280 443 488 563 591 631 777 901 1025-65535
                      donc je ne pense pas pouvoir retirer le 1025-65535 , par contre j'ai testé de rajouter les deux port SIP, pareil j'ai toujours des 403 dans les log squid

                      j'ai test la conf du proxy explicitement sur le client
                      donc dans la configuration du réseau local sur le pc en question, adresse du proxy 192.168.2.1 port 3128 + une rule firewall qui autorise le traffic de mon VLAN not_secure vers l'adresse de la pfsense dans le vlan not_secure sur le port 3128. test, resultat meme chose 403 dans squid.

                      concernant les port de sortie j'avais fait un test avant de découvrir que c'etait squid en faisant un NAT de ces port vers le pc concerné, mais ca n'avait rien changé, et concernant la sortie j'ai une regle firewall flotante qui autorise tout traffic du LAN vers internet sur tous les port, je ne filtre qu'en entrée, pas en sortie.

                      vous avez proposé "Il est peut-être stupide d'essayer avec le fichier '/var/squid/acl/donotcache.acl', mais cela peut-être aussi essayé. Quoique la voIp n'a sûrement pas à être 'cachée'."
                      il me semble que quand j'ai testé

                      acl voip_rsi dstdomain .robertsspaceindustries.com
always_direct allow voip_rsi
cache deny voip_rsi
http_access allow voip_rsi

                      c'est ce que j'ai fait avec la ligne always_direct non ? ou alors j'ai mal interpreté la doc c'est possible aussi :D

                      1 Reply Last reply Reply Quote 0
                      • K
                        killpilot
                        last edited by

                        j'ai tenté de nouvelles piste mais sans succés.. je n'ai pour l'instant donc pas solutionner mon soucis et SQUID continu de me faire des acces denied sur ces requetes....

                        et j'ai comme l'impression que pour une raison X ou Y les option custom ne sont pas pris en compte a partir du moment ou je met un "http_access allow voip_rsi" je ne vois pas aucune raison d'avoir une 403 sauf si mon option n'est pas interpreté, maintenant pourquoi..... ?

                        quelqu'un aurais une autre idée... ?

                        merci d'avance de votre aide,

                        @++

                        1 Reply Last reply Reply Quote 0
                        • J
                          jdh
                          last edited by

                          'j'ai test la conf du proxy explicitement sur le client
                          donc dans la configuration du réseau local sur le pc en question, adresse du proxy 192.168.2.1 port 3128 + une rule firewall qui autorise le traffic de mon VLAN not_secure vers l'adresse de la pfsense dans le vlan not_secure sur le port 3128. test, resultat meme chose 403 dans squid.'

                          Cela me parait peu clair : le squid installé sur le pfsense écoute vraisemblablement sur toutes les adresses ip : autant accepter sur l'ip dudit vlan ?

                          La méthode :

                          • en 1, avec le proxy, écoute du trafic depuis l'ip client
                          • en 2, sans proxy, écoute du trafic depuis l'ip client
                            Normalement les 2 trafics doivent être différents

                          Les règles 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110' sont elles bien actives ?

                          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                          K 1 Reply Last reply Reply Quote 0
                          • TataveT
                            Tatave
                            last edited by

                            salut salut

                            j'ai pris le problème dans l'autre sens aussi, avec les log ou les trace de squid si vous en avez, ils doivent etre explicite de mémoire et dire je vais de la a la mais je coince la avec tel user ou tel autre je passe.

                            aider, bien sûre que oui
                            assister, évidement non !!!

                            donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                            apprendre à un homme comment cuisiner, il sera vivre.

                            1 Reply Last reply Reply Quote 0
                            • K
                              killpilot @jdh
                              last edited by

                              @jdh said in [SQUID] probleme TCP_MISS/403:

                              'j'ai test la conf du proxy explicitement sur le client
                              donc dans la configuration du réseau local sur le pc en question, adresse du proxy 192.168.2.1 port 3128 + une rule firewall qui autorise le traffic de mon VLAN not_secure vers l'adresse de la pfsense dans le vlan not_secure sur le port 3128. test, resultat meme chose 403 dans squid.'

                              Cela me parait peu clair : le squid installé sur le pfsense écoute vraisemblablement sur toutes les adresses ip : autant accepter sur l'ip dudit vlan ?

                              La méthode :

                              • en 1, avec le proxy, écoute du trafic depuis l'ip client
                              • en 2, sans proxy, écoute du trafic depuis l'ip client
                                Normalement les 2 trafics doivent être différents

                              Les règles 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110' sont elles bien actives ?

                              alors du coup je vais peut etre detailler ma conf de régle firewall afin d'expliquer,

                              sur chaque interface de la pfsense j'ai donc une regle de base deny all from any to any.
                              l'intégralité de mon traffic interne doit donc etre explicitement authorisé. donc si je veux qu'une machine d'un réseau ai le droit de s'adresser à l'adresse de la pfsense dans son reseau je dois explicitement ouvrir le fux. donc si je veux rendre le port 3128 de squid accessible de mes machines dans un réseau je dois créer une règle en consequence dans ce réseau.

                              pour ce qui est de la regle de firewall autorisant internet aux machines. l'intégralité de mes reseaux LAN font parti du réseau 192.168.0.0/16 , j'ai donc créé une floating rule dans le firewall s'appliquant à un certain nombre de réseau (auquel je souhaitais autoriser internet) qui dit que tout le traffic from 192.168.0.0/16 vers autre chose que 192.168.0.0/16 (donc internet) est allow.

                              ce qui fait que l'acces internet et tout ou rien soit il est autorisé et tout est autorisé en sorti, soit il n'est pas autorisé et y'a pas internet sur le reseau. concernant l'entrée à part le VPN c'est que du port forwarding avec regle firewall associé. vers des equipements specifique, NAS, port forward pour certain jeux, etc....

                              voila maintenant ces precisions apporté je vais tenter de repondre au reste du post.
                              pour que la conf de proxy explicite fonctionne sur mon de travail concerné j'ai donc du ouvrir le port vers squid pour que le pc ai el droit d'y acceder, par contre ne connaissant pas bien le fonctionnement d'un proxy transparent, a savoir ou squid intercepte les requetes et comment ca marche j'avou ne pas avoir de connaissance la dessus et j'ai donc peut etre loupé un truc...

                              concernant le tests des port TCP 8000 - 8020 and UDP 64090 - 64110 j'avais testé du port forwarding sur ces ports et ca n'avait pas réglé le soucis (le port forwarding etait biensur accompagné des regler firewall qui vont bien dans les bon reseaux) je ne pense que ca soit donc la solution, mais encore une fois j'ai peut etre pas bien saisi le but et n'est pas effectué le bon test....

                              concernant les logs de squid a part ceux present dans l'interface GUI dans system logs je ne sais pas ou je pourrais en avoir d'autre, pourriez vous m'en dire plus ... ?

                              merci à vous de votre aide.

                              1 Reply Last reply Reply Quote 0
                              • J
                                jdh
                                last edited by

                                Dans la FAQ du site/jeu, quand on écrit 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110',, cela signifie que les machine derrière un firewall doivent pouvoir communiquer vers Internet via ces ports : il doit donc y avoir une règle dans l'onglet du réseau (et avant le deny all forcément !).

                                Il me semble plus simple de ne pas utiliser les règles flottantes. Chaque interface a son onglet avec les règles qui s'appliquent (de haut en bas, avec ou sans la règle 'deny all' à la fin). Et oon utilise le plus possibles les alias (avec des règles de nommages d'alias facilitant la lecture : lanXXXX pour les réseaux, srvXXXX pour les serveurs internes, extXXXX pour les prestataires extérieurs, portXXX pour les ports, ...).

                                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                K 1 Reply Last reply Reply Quote 0
                                • K
                                  killpilot @jdh
                                  last edited by

                                  @jdh said in [SQUID] probleme TCP_MISS/403:

                                  Dans la FAQ du site/jeu, quand on écrit 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110',, cela signifie que les machine derrière un firewall doivent pouvoir communiquer vers Internet via ces ports : il doit donc y avoir une règle dans l'onglet du réseau (et avant le deny all forcément !).

                                  Il me semble plus simple de ne pas utiliser les règles flottantes. Chaque interface a son onglet avec les règles qui s'appliquent (de haut en bas, avec ou sans la règle 'deny all' à la fin). Et oon utilise le plus possibles les alias (avec des règles de nommages d'alias facilitant la lecture : lanXXXX pour les réseaux, srvXXXX pour les serveurs internes, extXXXX pour les prestataires extérieurs, portXXX pour les ports, ...).

                                  comme expliquer dans le message precédent c'est donc le cas... (soite avec des regles flotantes, mais en soit tout le traffic est allow en sortie)

                                  situation initial :
                                  pc : dans le LAN 1
                                  - internet allow from LAN 1 to Internet port any protocol any
                                  resultat : KO

                                  situation de test avec port forwarding
                                  pc : dans le LAN 1
                                  - internet allow from LAN 1 to Internet port any protocol any
                                  - port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN vers le pc avec les regle de firewall que pfsense
                                  créé tout seul à la creation du port forward pour le retour des fois que. initialement je l'avais compris comme "pour que ca
                                  marche il faut que les port TCP 8000 - 8020 and UDP 64090 - 64110 du client soit accessible à partir internet"
                                  resultat KO

                                  situation de test avec port forwarding + config proxy explicite
                                  pc : dans le LAN 1
                                  - internet allow from LAN 1 to Internet port any protocol any
                                  - port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN vers le pc avec les regle de firewall que pfsense
                                  créé tout seul a la creation du port forward
                                  - regle firewall dans le LAN 1 autorisant en source le LAN1 a communiquer avec l'ip de la pfsense dans le LAN1 sur le port 3128
                                  - config du proxy au niveau systéme windows pour ajouter en proxy l'ip de la pfsense avec comme port 3128 en conf auto.
                                  resultat KO

                                  situation de test avec config proxy explicite
                                  pc : dans le LAN 1
                                  - internet allow from LAN 1 to Internet port any protocol any
                                  - regle firewall dans le LAN 1 autorisant en source le LAN1 a communiquer avec l'ip de la pfsense dans le LAN1 sur le port 3128
                                  - config du proxy au niveau systéme windows pour ajouter en proxy l'ip de la pfsense avec comme port 3128 en conf auto.
                                  resultat KO

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    jdh
                                    last edited by

                                    'port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN' ???

                                    Ce n'est pas ce que j'ai écrit (et ce n'est pas ce que demande la FAQ) : Il s'agit de trafic sortant, et NON de trafic entrant (port forward).

                                    Ce trafic sortant est évidemment couvert par une règle 'allow from LAN to any port any'. Mais j'encourage à écrire les 2 règles précises avant cette ligne 'allow all', en particulier car on peut activer le log règle par règle.

                                    Continuez à être précis et être actif comme sur le premier post : là vous semblez à court de méthode de test : une modif, un test, puis une autre modif, un autre test, et ainsi de suite ...

                                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      killpilot @jdh
                                      last edited by

                                      @jdh said in [SQUID] probleme TCP_MISS/403:

                                      'port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN' ???

                                      Ce n'est pas ce que j'ai écrit (et ce n'est pas ce que demande la FAQ) : Il s'agit de trafic sortant, et NON de trafic entrant (port forward).

                                      Ce trafic sortant est évidemment couvert par une règle 'allow from LAN to any port any'. Mais j'encourage à écrire les 2 règles précises avant cette ligne 'allow all', en particulier car on peut activer le log règle par règle.

                                      Continuez à être précis et être actif comme sur le premier post : là vous semblez à court de méthode de test : une modif, un test, puis une autre modif, un autre test, et ainsi de suite ...

                                      @Tatave voila ce que j'ai trouvé dans le fichier /var/squid/log/access.log

                                      1578684384.329 237 192.168.2.2 TCP_MISS/403 270 GET http://foip-v02.robertsspaceindustries.com/ - ORIGINAL_DST/35.153.171.151 text/html
                                      1578684385.507 165 192.168.2.2 TCP_MISS/403 270 GET http://foip-v02.robertsspaceindustries.com/ - ORIGINAL_DST/35.153.171.151 text/html

                                      @jdh
                                      j'ai supprimé ma régle flottante, j'ai rajouté
                                      allow from LAN1 to any prot TCP port 8000-8020
                                      allow from LAN1 to any prot UDP port 64090-64110
                                      allow from LAN1 to !192.168.0.0/16 prot any port any (acces internet)

                                      j'ai activé le log pour les deux premieres regles, je vois du flux dans ces régles, le flux sortant est donc OK pour autant j'ai toujours une erreur 403 cote SQUID.

                                      j'ai tente un curl pour essayé d'en savoir un peu plus sur le contenu de la requete.

                                      curl -vvv -x http://192.168.2.1:3128 -I http://foip-v02.robertsspaceindustries.com

                                      • Trying 192.168.2.1...
                                      • TCP_NODELAY set
                                      • Connected to 192.168.2.1 (192.168.2.1) port 3128 (#0)

                                      HEAD http://foip-v02.robertsspaceindustries.com/ HTTP/1.1
                                      Host: foip-v02.robertsspaceindustries.com
                                      User-Agent: curl/7.64.1
                                      Accept: /
                                      Proxy-Connection: Keep-Alive

                                      HTTP/1.1 403 Forbidden
                                      Date: Fri, 10 Jan 2020 19:46:03 GMT
                                      Content-Type: text/html
                                      Content-Length: 38
                                      X-Cache: MISS from localhost
                                      X-Cache-Lookup: MISS from localhost:3128
                                      Via: 1.1 localhost (squid)
                                      Connection: keep-alive

                                      on en saura donc pas plus avec le curl ^^... je continu de reflechir sur le sujet mais j'avou avoir epuisé mes differentes solution, et même apres de nouvelle recherche google, je n'ai trouvé aucune nouvelle piste....

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.