Tengo problemas con squid transparente.



  • Estoy realizando pruebas con pfsense y me gusto muchisimo, se ajusta bastante a lo que necesitamos en mi trabajo. El tema es que al realizar proxy transparente, tengo problemas con algunas paginas y no entiendo por que, si no existe nada bloqueado aún. Sin embargo cuando saco la transparencia del proxy al puerto 3128, todo funciona perfecto. Actualmente estoy teniendo problemas con hotmail, espero puedan ayudarme…



  • 1; Version de pfsense?

    2; Leer el archivo access.log, tu archivo de configuracion te indicara donde esta, /var/squid/log o ./logs

    El GUI de pfsense no te muestra esto, tienes entrar a la consola, el anyterm tiene problemas, no corre del todo bien, por ello tendras entrarle a ssh.

    Vas a ver algo asi: (Yo lo tengo en /var/squid/log/)

    tail /var/squid/log/access.log
    1314368138.170  8216 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.17/update/idx/master.idx - NONE/- text/html
    1314368138.189      1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.17/update/idx/master.idx - NONE/- text/html
    1314368138.194      1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.17/update/idx/master.idx - NONE/- text/html
    1314368138.384    185 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.18/update/idx/master.idx - NONE/- text/html
    1314368138.390      1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.18/update/idx/master.idx - NONE/- text/html
    1314368138.395      1 192.168.3.101 TCP_DENIED/403 1358 GET http://89.105.213.18/update/idx/master.idx - NONE/- text/html
    1314370277.026      1 192.168.3.101 TCP_DENIED/403 1354 POST http://tools.google.com/service/update2? - NONE/- text/html
    1314370277.036      0 192.168.3.101 TCP_DENIED/403 1314 CONNECT tools.google.com:443 - NONE/- text/html
    1314373876.771      1 192.168.3.101 TCP_DENIED/403 1354 POST http://tools.google.com/service/update2? - NONE/- text/html
    1314373876.777      0 192.168.3.101 TCP_DENIED/403 1314 CONNECT tools.google.com:443 - NONE/- text/html

    Ahi puedo ver la palabra magica TCP_DENIED que dice que le estoy negando esa pagina a el usario 192.168.3.101.

    Revisa y dices si tienes algo asi, saludos!!!



  • Acabo de realizar lo que me indicas y todo aparece bien. El asunto es que no tengo ninguna denegación en el squid, todo esta liberado pero aun así no puedo ver la pagina de hotmail como si no estubiera conectado, ningun error, simplemente no aparece. No se por que pero es la unica pagina con problemas.

    tail /var/squid/log/access.log

    1314798757.673  6735 192.168.23.12 TCP_MISS/200 3630 GET http://col.stb01.s-msn.com/i/8F/75A934AE8E8794D1D79E6774149BA.jpg - DIRECT/65.54.81.93 image/jpeg
    1314798757.674  6518 192.168.23.12 TCP_MISS/200 3730 GET http://col.stb01.s-msn.com/i/8E/BB7F8DD746BF40B9AC1324EA37FE51.jpg - DIRECT/65.54.81.93 image/jpeg
    1314798758.187    945 192.168.23.12 TCP_MISS/200 39435 GET http://col.stb01.s-msn.com/i/D5/B025565E7C288D8D11D8F549CE1DF.jpg - DIRECT/65.54.81.93 image/jpeg
    1314798758.225  7278 192.168.23.12 TCP_MISS/200 3382 GET http://col.stb01.s-msn.com/i/51/C575C589DD752E9C915BC8AB605B3B.jpg - DIRECT/65.54.81.93 image/jpeg
    1314798758.401    124 192.168.23.12 TCP_MISS/204 597 GET http://b.scorecardresearch.com/b? - DIRECT/204.2.241.162 -
    1314798762.481  3987 192.168.23.12 TCP_MISS/200 10800 GET http://cl.msn.com/? - DIRECT/65.55.17.37 text/html
    1314798763.343    833 192.168.23.12 TCP_MISS/200 19476 GET http://col.stb01.s-msn.com/i/29/DAA3EFA6760E931EB8078E6CF1092.jpg - DIRECT/65.54.81.101 image/jpeg
    1314798765.695    199 192.168.23.12 TCP_MISS/200 12423 GET http://col.stb01.s-msn.com/i/F2/9E5BB212DDBDC15AFC6BE54BC66E.jpg - DIRECT/65.54.81.101 image/jpeg
    1314798767.397      6 192.168.23.12 TCP_MISS/000 0 GET http://udc.msn.com/c.gif? - DIRECT/udc.msn.com -
    1314798790.214    505 192.168.23.12 TCP_MISS/302 1789 GET http://www.hotmail.com/ - DIRECT/64.4.2.107 text/html





  • Que tal.

    TCP_MISS es cuando squid no tiene el objeto en su cache y tiene que ir por el directamente a el servidor destino por ello a el final pone DIRECT.

    Ahora, dices que no tienes ninguna ACL o regla de sitios blequeados dados de alta?

    Estamos hablando de una sola red? o hay mas?

    v. de pfsense?

    Puedes mostrar tu archivo de configuracion de favor: /usr/local/etc/squid/squid.conf

    Saludos!!!



  • Gracias a todos por responder y ayudarme en este tema. Bueno, efectivamente no tengo ninguna regla activa. Actualmente estou trabajando con squid y squidguard  y siempre me sucede lo mismo, sin embargo al sacarle la transparencia al proxy y configurar el explorador manualmente, todo bien y sin problemas. Es algo que me sucede solo con la transparencia y con hotmail por el momento.

    La version del pfsense es "2.0-RC3 (i386) built on Tue Jun 21 16:50:25 EDT 2011"
    Es una sola red y aqui esta la configuracion de mi squid:

    http_access allow whitelist

    Setup allowed acls

    Allow local network(s) on interface(s)

    http_access allow localnet

    Custom options

    redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
    redirector_bypass on
    redirect_children 3

    Default block all to be sure

    http_access deny all

    Gracias nuevamente a todos.



  • Creo que el problema no es squid, sino squidguard, te recomiendo empezar solo con squid, de ahi squidguard para empezar a dividir el problema.
      Ahora si al deshabilitar squidguard sigue el problema, pones la configuracion completa.

    Squidguard no lo uso, pero viendo la config que muestras yo borraria estas lineas:

    redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf
    redirector_bypass on
    redirect_children 3

    Y ejecutaria en consola:

    squid -k reconfigure

    Y probaria, creo que es la parte que manda llamar a squidguard.

    Saludos!!!



  • Hola,

    Yo por lo general instalo el squid solamente. Nada de squidguard, ni clamav. Pues si el equipo no tiene rendimiento adecuado se satura. Yo tengo squid (el paquete estable) y lightsquid, para los reportes de tráfico. Y trato que la tarjeta de red (LAN o WAN ) no sea la integrada, 2 pci son mejores y si las consigues Intel (mucho mejor transferencia y compatibilidad),…ah! que hago con la integrada (OPT1 para administrar pfSense sin cargar el tráfico  ;))

    Nuevo Equipo: Dell Dimension E510, 1.5Gb RAM, 2.6 Core Duo, 110 Gb HD , 2 pci (Intel Pro 10/100)
    pfSense > 2.0-RC3
    Reglas de Firewall activas (nada preconfigurado, todo manual)
    :D squid 2.7(stable) modo transparente, log enable, log rotate =7
    :D lightsquid (+60 min)

    Nueva capacidad, 30 terminales en trafico full, y aumentando  ;D

    ¡pfSense bien configurado es una bendición para la red!


Log in to reply