[SQUID] probleme TCP_MISS/403



  • bonjour à tous,

    je viens solliciter votre aide sur un soucis de conf SQUID.

    Contexte : je suis un particulier avec une pfsense chez moi, installée sur un petit PC dans une baie info, je suis pas un expert reseau mais je me defend... dans la vie je suis devops/architect AWS

    Besoin : je me suis rendu compte qu'une fonctionnalité de VoIP dans un de mes jeux ne fonctionnait pas.

    Schéma : mon installation est grosso merdo :
    Fibre orange -> convertisseur opto-numerique -> Livebox -> pfsense -> switch avec VLAN (4 reseaux)

    LAN :

    j'ai 4 VLAN LAN sur le switch reseau d'interco -> WAN (pfsense) - 192.168.5.0/24
    NOT_SECURE -> LAN (pfsense) - 192.168.2.0/24
    SECURE -> LAN_S (pfsense) - 192.168.3.0/24
    WIFI_GUEST -> GUEST (pfsense) - 192.168.4.0/24

    pour l'ensemble de ces VLAN (sauf WAN) c'est la pfsense qui fait DHCP, DNS, etc.. pour le WAN c'est la livebox qui fait DHCP

    Règles NAT : vu que c'est un soucis squid je pense pas que ca soit la peine de detailler les regles, mais si besoin je le ferai

    Règles Firewall : vu que c'est un soucis squid je pense pas que ca soit la peine de detailler les regles, mais si besoin je le ferai

    Packages ajoutés : notamement celui la
    squid www 0.4.44_9 ( squidclamav-6.16  squid_radius_auth-1.10  squid-3.5.27_3  c-icap-modules-0.5.3_1 )

    Autres fonctions assignées au pfSense : j'ai effectivement un portai captif, un serveur VPN, etc... mais je ne pense pas que ca rentre en compte avec mon soucis squid mais pareil si besoin je detaillerai

    Question :
    lorsque je tente d'ouvrir une session de Voip dans mon jeux cela ne fonctionne pas, apres avoir effectuer des capture de traffic sur le pc je me suis rendu compte que SQUID repondait Acces denied, et effectivement dans les logs de squid je vois effectivement des
    02.01.2020 14:42:15 192.168.2.2 TCP_MISS/403 http://foip-v00.robertsspaceindustries.com/ - 54.205.87.8

    je tente donc de trouver la configuration qui me permettra de ne plus etre bloqué par squid pour utiliser cette feature.

    Logs et tests : j'ai donc effectuer plusieurs test:
    1 - desactiver squid, RESULTAT: et effectivement une fois squid desactivé ca fonctionne, mais je ne souhaite pas le desactiv
    2 - rajouter dans l'onglet ACLs dans le bloc whitelist une regex " ^..robertsspaceindustries.com$ " - RESULTAT: aucun changement j'ai toujours des 403 et ca ne marche toujours pas.
    3- rajouter dans l'onglet general de squid dans le champ "Bypass Proxy for These Destination IPs", l'url de mon site a savoir "robertsspaceindustries.com" - RESULTAT : pareil aucun changement toujours des 403
    4 - clamav is active, in the advanced conf i add this line in squidclamav.conf "whitelist ^.
    .robertsspaceindustries.com$" and " abort ^.*.robertsspaceindustries.com$ " - RESULTAT pareil aucun changement.
    5 - rajouter en dernier test dans custom option before auth

    acl voip_rsi dstdomain .robertsspaceindustries.com
    always_direct allow voip_rsi
    cache deny voip_rsi
    http_access allow voip_rsi

    pareil aucun changement toujours des 403.... et j'en suis la.....

    est ce que quelqu'un aurai une idée de la bonne configuration a mettre en place pour solutionner mon soucis ? merci d'avance de votre aide,

    bonne année à tous.



  • voici mon fichier squid.conf

    ===group

    # This file is automatically generated by pfSense
    # Do not edit manually !
    
    http_port 192.168.2.1:3128
    http_port 192.168.4.1:3128
    http_port 192.168.8.1:3128
    http_port 127.0.0.1:3128 intercept
    icp_port 0
    digest_generation off
    dns_v4_first off
    pid_filename /var/run/squid/squid.pid
    cache_effective_user squid
    cache_effective_group proxy
    error_default_language fr
    icon_directory /usr/local/etc/squid/icons
    visible_hostname localhost
    cache_mgr xxxxxxxxxxxxxxxx
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    netdb_filename /var/squid/logs/netdb.state
    pinger_enable on
    pinger_program /usr/local/libexec/squid/pinger
    
    logfile_rotate 7
    debug_options rotate=7
    shutdown_lifetime 3 seconds
    # Allow local network(s) on interface(s)
    acl localnet src  192.168.2.0/24 192.168.4.0/24 192.168.8.0/24
    forwarded_for on
    httpd_suppress_version_string on
    uri_whitespace strip
    
    
    cache_mem 64 MB
    maximum_object_size_in_memory 256 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    minimum_object_size 0 KB
    maximum_object_size 10 MB
    cache_dir ufs /var/squid/cache 1024 16 256
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95
    acl donotcache dstdomain "/var/squid/acl/donotcache.acl"
    cache deny donotcache
    cache allow all
    # Add any of your own refresh_pattern entries above these.
    refresh_pattern ^ftp:    1440  20%  10080
    refresh_pattern ^gopher:  1440  0%  1440
    refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
    refresh_pattern .    0  20%  4320
    
    
    #Remote proxies
    
    
    # Setup some default acls
    # ACLs all, manager, localhost, and to_localhost are predefined.
    acl allsrc src all
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 9443 3128 3129 1025-65535 
    acl sslports port 443 563 9443 
    
    acl purge method PURGE
    acl connect method CONNECT
    
    # Define protocols used for redirects
    acl HTTP proto HTTP
    acl HTTPS proto HTTPS
    acl unrestricted_hosts src "/var/squid/acl/unrestricted_hosts.acl"
    acl whitelist dstdom_regex -i "/var/squid/acl/whitelist.acl"
    http_access allow manager localhost
    
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports
    
    # Always allow localhost connections
    http_access allow localhost
    
    request_body_max_size 0 KB
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    # Do not throttle unrestricted hosts
    delay_access 1 deny unrestricted_hosts
    delay_access 1 allow allsrc
    
    # Reverse Proxy settings
    acl rvm_uri_proxmox url_regex -i proxmox.killpilot.fr
    never_direct allow rvm_uri_proxmox
    http_access allow rvm_uri_proxmox
    
    
    # Custom options before auth
    acl voip_rsi dstdomain .robertsspaceindustries.com
    always_direct allow voip_rsi
    cache deny voip_rsi
    http_access allow voip_rsi
    
    # These hosts do not have any restrictions
    http_access allow unrestricted_hosts
    # Always allow access to whitelist domains
    http_access allow whitelist
    # Setup allowed ACLs
    # Allow local network(s) on interface(s)
    http_access allow localnet
    # Default block all to be sure
    http_access deny allsrc
    
    icap_enable on
    icap_send_client_ip off
    icap_send_client_username off
    icap_client_username_encode off
    icap_client_username_header X-Authenticated-User
    icap_preview_enable on
    icap_preview_size 1024
    
    icap_service service_avi_req reqmod_precache icap://127.0.0.1:1344/squid_clamav bypass=off
    adaptation_access service_avi_req allow all
    icap_service service_avi_resp respmod_precache icap://127.0.0.1:1344/squid_clamav bypass=on
    adaptation_access service_avi_resp allow all
    

    ===



  • (Bravo pour cette présentation : il y a des infos, y compris un fichier de conf ! En plus vous avez une excellente méthode : décrire, observer, réfléchir, rechercher, essayer : vous faites des essais logiques : exemple avec les acl ! Continuez !)

    (Nb : la syntaxe d'un acl dstdomain nécessite-t-elle le . ? Je n'en suis pas sûr. Une autre possibilité : entrer le nom dans '/var/squid/acl/whitelist.acl' : la ligne est là pour ça !)

    Je vois la ligne 'http_port 127.0.0.1:3128 intercept', je suppose, donc, que Squid est en mode transparent, ce qui n'est pas idéal.

    Avez vous fait l'essai de désactiver le mode transparent et de configurer les navigateurs en proxy déclaré ? (Et l'idéal sera d'utiliser WPAD pour ne pas avoir à configurer les navigateurs !)

    (Nb : le proxy transparent ne fonctionne que pour le port 80 = http)

    Il est peut-être stupide d'essayer avec le fichier '/var/squid/acl/donotcache.acl', mais cela peut-être aussi essayé. Quoique la voIp n'a sûrement pas à être 'cachée'.

    Autre idée : écrire une règle explicite (Firewall > Rules) pour ce site (via les ip du sites). L'appli n'aura du coup pas besoin d'avoir une définition de proxy.



  • bah à force de patoger, si on veut trouver de l'aide rapidement et sympathiquement, faut essayer de bien presenter les choses, que les gens qui passent du temps a répondre puisse le faire sans perdre de temps...

    a cause de certains elements de mon reseau je ne peux pas activer de proxy non transparent... du coup je ne peux pas agir sur ce point la, apres le but de squid dans mon cas etait biensur le cache.. mais surtout la protection anti virus et la protection de phishing etc.. par des liste google ou autre... et c'est surtout ces fonctionnalité que je ne souhaites pas perdre.

    concernant la syntaxe j'ai essayé avec ou sans le point et pareil...
    j'ai tente une desinstall et reinstall pareil...

    apres je me dis que mon soucis vient peut etre des web socket j'ai testé sur le site http://websocket.org/echo.html
    et j'ai effectivement des erreurs, et du coup je me dit que la VoIP se base surement/peut etre sur les web socket et que c'est peut etre pour ca que ca ne passe pas.... je fais toujours des tests pour l'instant sans resultat...



  • 'si on veut trouver de l'aide rapidement et sympathiquement, faut essayer de bien presenter les choses, que les gens qui passent du temps a repondre puisse le faire sans perdre de temps...' Cela est le plus élémentaire bon sens, bravo !

    La ligne 'acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 9443 3128 3129 1025-65535' est troublante, en particulier '1025-65535'.
    Elle revient à configurer Squid afin qu'il fonctionne sur tous les ports possibles, ce qui est loin d'être la norme.

    A minima, j'excluerai 5060 et 5061 (SIP en tcp, alors que normalement SIP est en udp). Je ferai l'essai de supprimer cet affreux '1025-65535'.

    Je regarderai ce site de jeux pour connaitre les ports utilisés et je les supprimerai de squid.conf (sauf les usuels 80,443). Il doit bien y avoir des réponses avec '(le jeu) firewall port' ...

    Je rappelle que le proxy transparent ne fonctionne que sur http (80/tcp),

    web socket ? plutôt 'proxy socks' ?

    pfSense est capable de fournir les ports utilisés avec nmap + limitation sur l'ip de la machine (sans le proxy actif bien sûr).



  • Dans Support on trouve 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110', j'ajouterais fonc forcément une règle de sortie autorisant ces ports (vers any car je suppose que l'éditeur dispose de plusieurs ip publiques). (Mais c'est sans doute déjà fait ?).

    On trouve aussi 'Proxy services are turned off, disabled, or properly configured'. Je le comprends en définissant de façon explicite : ip de pfsense + 3128. Ce sera toujours meilleur que du tranparent.

    (Nb : ce n'est pas parce que le proxy est transparent ... qu'il ne peut pas être défini explicitement !)



  • @jdh said in [SQUID] probleme TCP_MISS/403:

    'si on veut trouver de l'aide rapidement et sympathiquement, faut essayer de bien presenter les choses, que les gens qui passent du temps a repondre puisse le faire sans perdre de temps...' Cela est le plus élémentaire bon sens, bravo !

    La ligne 'acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 9443 3128 3129 1025-65535' est troublante, en particulier '1025-65535'.
    Elle revient à configurer Squid afin qu'il fonctionne sur tous les ports possibles, ce qui est loin d'être la norme.

    A minima, j'excluerai 5060 et 5061 (SIP en tcp, alors que normalement SIP est en udp). Je ferai l'essai de supprimer cet affreux '1025-65535'.

    Je regarderai ce site de jeux pour connaitre les ports utilisés et je les supprimerai de squid.conf (sauf les usuels 80,443). Il doit bien y avoir des réponses avec '(le jeu) firewall port' ...

    Je rappelle que le proxy transparent ne fonctionne que sur http (80/tcp),

    web socket ? plutôt 'proxy socks' ?

    pfSense est capable de fournir les ports utilisés avec nmap + limitation sur l'ip de la machine (sans le proxy actif bien sûr).

    je n'ai pas fait de conf explicite en ce sens je vais moi aussi regarder comment affiner ca au mieux..
    pour le jeu il s'agit du jeu star citizen, mais j'ai deja effectué quelques recherches sur le sujets sans rien trouver d'interessant... etant encore alpha ce genre d'infos sont encore peu nombreuses.



  • Les posts se croisent ... j'ai cherché et donné quelques pistes possibles à tester avant ce post ...



  • alors dans l'ordre: il est marqué dans la GUI
    Default list: 21 70 80 210 280 443 488 563 591 631 777 901 1025-65535
    donc je ne pense pas pouvoir retirer le 1025-65535 , par contre j'ai testé de rajouter les deux port SIP, pareil j'ai toujours des 403 dans les log squid

    j'ai test la conf du proxy explicitement sur le client
    donc dans la configuration du réseau local sur le pc en question, adresse du proxy 192.168.2.1 port 3128 + une rule firewall qui autorise le traffic de mon VLAN not_secure vers l'adresse de la pfsense dans le vlan not_secure sur le port 3128. test, resultat meme chose 403 dans squid.

    concernant les port de sortie j'avais fait un test avant de découvrir que c'etait squid en faisant un NAT de ces port vers le pc concerné, mais ca n'avait rien changé, et concernant la sortie j'ai une regle firewall flotante qui autorise tout traffic du LAN vers internet sur tous les port, je ne filtre qu'en entrée, pas en sortie.

    vous avez proposé "Il est peut-être stupide d'essayer avec le fichier '/var/squid/acl/donotcache.acl', mais cela peut-être aussi essayé. Quoique la voIp n'a sûrement pas à être 'cachée'."
    il me semble que quand j'ai testé

    acl voip_rsi dstdomain .robertsspaceindustries.com
    always_direct allow voip_rsi
    cache deny voip_rsi
    http_access allow voip_rsi
    

    c'est ce que j'ai fait avec la ligne always_direct non ? ou alors j'ai mal interpreté la doc c'est possible aussi :D



  • j'ai tenté de nouvelles piste mais sans succés.. je n'ai pour l'instant donc pas solutionner mon soucis et SQUID continu de me faire des acces denied sur ces requetes....

    et j'ai comme l'impression que pour une raison X ou Y les option custom ne sont pas pris en compte a partir du moment ou je met un "http_access allow voip_rsi" je ne vois pas aucune raison d'avoir une 403 sauf si mon option n'est pas interpreté, maintenant pourquoi..... ?

    quelqu'un aurais une autre idée... ?

    merci d'avance de votre aide,

    @++



  • 'j'ai test la conf du proxy explicitement sur le client
    donc dans la configuration du réseau local sur le pc en question, adresse du proxy 192.168.2.1 port 3128 + une rule firewall qui autorise le traffic de mon VLAN not_secure vers l'adresse de la pfsense dans le vlan not_secure sur le port 3128. test, resultat meme chose 403 dans squid.'

    Cela me parait peu clair : le squid installé sur le pfsense écoute vraisemblablement sur toutes les adresses ip : autant accepter sur l'ip dudit vlan ?

    La méthode :

    • en 1, avec le proxy, écoute du trafic depuis l'ip client
    • en 2, sans proxy, écoute du trafic depuis l'ip client
      Normalement les 2 trafics doivent être différents

    Les règles 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110' sont elles bien actives ?



  • salut salut

    j'ai pris le problème dans l'autre sens aussi, avec les log ou les trace de squid si vous en avez, ils doivent etre explicite de mémoire et dire je vais de la a la mais je coince la avec tel user ou tel autre je passe.



  • @jdh said in [SQUID] probleme TCP_MISS/403:

    'j'ai test la conf du proxy explicitement sur le client
    donc dans la configuration du réseau local sur le pc en question, adresse du proxy 192.168.2.1 port 3128 + une rule firewall qui autorise le traffic de mon VLAN not_secure vers l'adresse de la pfsense dans le vlan not_secure sur le port 3128. test, resultat meme chose 403 dans squid.'

    Cela me parait peu clair : le squid installé sur le pfsense écoute vraisemblablement sur toutes les adresses ip : autant accepter sur l'ip dudit vlan ?

    La méthode :

    • en 1, avec le proxy, écoute du trafic depuis l'ip client
    • en 2, sans proxy, écoute du trafic depuis l'ip client
      Normalement les 2 trafics doivent être différents

    Les règles 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110' sont elles bien actives ?

    alors du coup je vais peut etre detailler ma conf de régle firewall afin d'expliquer,

    sur chaque interface de la pfsense j'ai donc une regle de base deny all from any to any.
    l'intégralité de mon traffic interne doit donc etre explicitement authorisé. donc si je veux qu'une machine d'un réseau ai le droit de s'adresser à l'adresse de la pfsense dans son reseau je dois explicitement ouvrir le fux. donc si je veux rendre le port 3128 de squid accessible de mes machines dans un réseau je dois créer une règle en consequence dans ce réseau.

    pour ce qui est de la regle de firewall autorisant internet aux machines. l'intégralité de mes reseaux LAN font parti du réseau 192.168.0.0/16 , j'ai donc créé une floating rule dans le firewall s'appliquant à un certain nombre de réseau (auquel je souhaitais autoriser internet) qui dit que tout le traffic from 192.168.0.0/16 vers autre chose que 192.168.0.0/16 (donc internet) est allow.

    ce qui fait que l'acces internet et tout ou rien soit il est autorisé et tout est autorisé en sorti, soit il n'est pas autorisé et y'a pas internet sur le reseau. concernant l'entrée à part le VPN c'est que du port forwarding avec regle firewall associé. vers des equipements specifique, NAS, port forward pour certain jeux, etc....

    voila maintenant ces precisions apporté je vais tenter de repondre au reste du post.
    pour que la conf de proxy explicite fonctionne sur mon de travail concerné j'ai donc du ouvrir le port vers squid pour que le pc ai el droit d'y acceder, par contre ne connaissant pas bien le fonctionnement d'un proxy transparent, a savoir ou squid intercepte les requetes et comment ca marche j'avou ne pas avoir de connaissance la dessus et j'ai donc peut etre loupé un truc...

    concernant le tests des port TCP 8000 - 8020 and UDP 64090 - 64110 j'avais testé du port forwarding sur ces ports et ca n'avait pas réglé le soucis (le port forwarding etait biensur accompagné des regler firewall qui vont bien dans les bon reseaux) je ne pense que ca soit donc la solution, mais encore une fois j'ai peut etre pas bien saisi le but et n'est pas effectué le bon test....

    concernant les logs de squid a part ceux present dans l'interface GUI dans system logs je ne sais pas ou je pourrais en avoir d'autre, pourriez vous m'en dire plus ... ?

    merci à vous de votre aide.



  • Dans la FAQ du site/jeu, quand on écrit 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110',, cela signifie que les machine derrière un firewall doivent pouvoir communiquer vers Internet via ces ports : il doit donc y avoir une règle dans l'onglet du réseau (et avant le deny all forcément !).

    Il me semble plus simple de ne pas utiliser les règles flottantes. Chaque interface a son onglet avec les règles qui s'appliquent (de haut en bas, avec ou sans la règle 'deny all' à la fin). Et oon utilise le plus possibles les alias (avec des règles de nommages d'alias facilitant la lecture : lanXXXX pour les réseaux, srvXXXX pour les serveurs internes, extXXXX pour les prestataires extérieurs, portXXX pour les ports, ...).



  • @jdh said in [SQUID] probleme TCP_MISS/403:

    Dans la FAQ du site/jeu, quand on écrit 'Ports opens for TCP 8000 - 8020 and UDP 64090 - 64110',, cela signifie que les machine derrière un firewall doivent pouvoir communiquer vers Internet via ces ports : il doit donc y avoir une règle dans l'onglet du réseau (et avant le deny all forcément !).

    Il me semble plus simple de ne pas utiliser les règles flottantes. Chaque interface a son onglet avec les règles qui s'appliquent (de haut en bas, avec ou sans la règle 'deny all' à la fin). Et oon utilise le plus possibles les alias (avec des règles de nommages d'alias facilitant la lecture : lanXXXX pour les réseaux, srvXXXX pour les serveurs internes, extXXXX pour les prestataires extérieurs, portXXX pour les ports, ...).

    comme expliquer dans le message precédent c'est donc le cas... (soite avec des regles flotantes, mais en soit tout le traffic est allow en sortie)

    situation initial :
    pc : dans le LAN 1
    - internet allow from LAN 1 to Internet port any protocol any
    resultat : KO

    situation de test avec port forwarding
    pc : dans le LAN 1
    - internet allow from LAN 1 to Internet port any protocol any
    - port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN vers le pc avec les regle de firewall que pfsense
    créé tout seul à la creation du port forward pour le retour des fois que. initialement je l'avais compris comme "pour que ca
    marche il faut que les port TCP 8000 - 8020 and UDP 64090 - 64110 du client soit accessible à partir internet"
    resultat KO

    situation de test avec port forwarding + config proxy explicite
    pc : dans le LAN 1
    - internet allow from LAN 1 to Internet port any protocol any
    - port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN vers le pc avec les regle de firewall que pfsense
    créé tout seul a la creation du port forward
    - regle firewall dans le LAN 1 autorisant en source le LAN1 a communiquer avec l'ip de la pfsense dans le LAN1 sur le port 3128
    - config du proxy au niveau systéme windows pour ajouter en proxy l'ip de la pfsense avec comme port 3128 en conf auto.
    resultat KO

    situation de test avec config proxy explicite
    pc : dans le LAN 1
    - internet allow from LAN 1 to Internet port any protocol any
    - regle firewall dans le LAN 1 autorisant en source le LAN1 a communiquer avec l'ip de la pfsense dans le LAN1 sur le port 3128
    - config du proxy au niveau systéme windows pour ajouter en proxy l'ip de la pfsense avec comme port 3128 en conf auto.
    resultat KO



  • 'port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN' ???

    Ce n'est pas ce que j'ai écrit (et ce n'est pas ce que demande la FAQ) : Il s'agit de trafic sortant, et NON de trafic entrant (port forward).

    Ce trafic sortant est évidemment couvert par une règle 'allow from LAN to any port any'. Mais j'encourage à écrire les 2 règles précises avant cette ligne 'allow all', en particulier car on peut activer le log règle par règle.

    Continuez à être précis et être actif comme sur le premier post : là vous semblez à court de méthode de test : une modif, un test, puis une autre modif, un autre test, et ainsi de suite ...



  • @jdh said in [SQUID] probleme TCP_MISS/403:

    'port forward des port TCP 8000 - 8020 and UDP 64090 - 64110 du WAN' ???

    Ce n'est pas ce que j'ai écrit (et ce n'est pas ce que demande la FAQ) : Il s'agit de trafic sortant, et NON de trafic entrant (port forward).

    Ce trafic sortant est évidemment couvert par une règle 'allow from LAN to any port any'. Mais j'encourage à écrire les 2 règles précises avant cette ligne 'allow all', en particulier car on peut activer le log règle par règle.

    Continuez à être précis et être actif comme sur le premier post : là vous semblez à court de méthode de test : une modif, un test, puis une autre modif, un autre test, et ainsi de suite ...

    @Tatave voila ce que j'ai trouvé dans le fichier /var/squid/log/access.log

    1578684384.329 237 192.168.2.2 TCP_MISS/403 270 GET http://foip-v02.robertsspaceindustries.com/ - ORIGINAL_DST/35.153.171.151 text/html
    1578684385.507 165 192.168.2.2 TCP_MISS/403 270 GET http://foip-v02.robertsspaceindustries.com/ - ORIGINAL_DST/35.153.171.151 text/html

    @jdh
    j'ai supprimé ma régle flottante, j'ai rajouté
    allow from LAN1 to any prot TCP port 8000-8020
    allow from LAN1 to any prot UDP port 64090-64110
    allow from LAN1 to !192.168.0.0/16 prot any port any (acces internet)

    j'ai activé le log pour les deux premieres regles, je vois du flux dans ces régles, le flux sortant est donc OK pour autant j'ai toujours une erreur 403 cote SQUID.

    j'ai tente un curl pour essayé d'en savoir un peu plus sur le contenu de la requete.

    curl -vvv -x http://192.168.2.1:3128 -I http://foip-v02.robertsspaceindustries.com

    • Trying 192.168.2.1...
    • TCP_NODELAY set
    • Connected to 192.168.2.1 (192.168.2.1) port 3128 (#0)

    HEAD http://foip-v02.robertsspaceindustries.com/ HTTP/1.1
    Host: foip-v02.robertsspaceindustries.com
    User-Agent: curl/7.64.1
    Accept: /
    Proxy-Connection: Keep-Alive

    HTTP/1.1 403 Forbidden
    Date: Fri, 10 Jan 2020 19:46:03 GMT
    Content-Type: text/html
    Content-Length: 38
    X-Cache: MISS from localhost
    X-Cache-Lookup: MISS from localhost:3128
    Via: 1.1 localhost (squid)
    Connection: keep-alive

    on en saura donc pas plus avec le curl ^^... je continu de reflechir sur le sujet mais j'avou avoir epuisé mes differentes solution, et même apres de nouvelle recherche google, je n'ai trouvé aucune nouvelle piste....


Log in to reply