Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2582 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  squid.conf, TCP_DENIED/403

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

squid.conf, TCP_DENIED/403

n°1212413
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 13:44:27  profilanswer
 

Bonjour, j'ai un petit problème avec mon squid.conf.
 
J'ai une machine en 10.10.101.10 qui doit passer par une autre machine avec squid pour se connecter.
Dans le fichier de log j'ai des  
10.10.101.10 TCP_DENIED/403 XXXX GET http://www.google.com - DIRECT/209.85.229.99 text/html
Or dans mon squid.conf j'ai bien defini l'acl, pourriez vous m'aider à voir ce qui cloche.
Le problème ne viens pas d'iptables, il est vide.
 

Code :
  1. acl all src 0.0.0.0/32
  2. acl manager proto cache_object
  3. acl localhost src 127.0.0.1/32
  4. acl to_localhost dst 127.0.0.0/8
  5. acl SSL_ports port 443  # https
  6. acl Safe_ports port 80  # http
  7. acl Safe_ports port 21  # ftp
  8. acl Safe_ports port 443  # https
  9. acl Safe_ports port 70  # gopher
  10. acl Safe_ports port 210  # wais
  11. acl Safe_ports port 1025-65535 # unregistered ports
  12. acl Safe_ports port 280  # http-mgmt
  13. acl Safe_ports port 488  # gss-http
  14. acl Safe_ports port 591  # filemaker
  15. acl Safe_ports port 777  # multiling http
  16. acl Safe_ports port 53  # dns port udp 53
  17. acl CONNECT method CONNECT
  18. acl monrez src 10.10.0.0/16       # j'ai aussi essayé avec 10.10.101.0/24, ça ne fonctionne pas mieux
  19. http_access allow manager localhost
  20. http_access deny manager
  21. http_access deny !Safe_ports
  22. http_access deny CONNECT !SSL_ports
  23. http_access allow localhost
  24. http_access allow monrez
  25. http_access deny all
  26. icp_access allow all
  27. http_port 3128
  28. hierarchy_stoplist cgi-bin ?
  29. access_log /var/log/squid/access.log squid
  30. acl QUERY urlpath_regex cgi-bin \?
  31. cache deny QUERY
  32. refresh_pattern ^ftp:  1440 20% 10080
  33. refresh_pattern ^gopher: 1440 0% 1440
  34. refresh_pattern .  0 20% 4320
  35. icp_port 3130
  36. coredump_dir /var/spool/squid
  37. # url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf
  38. # url_rewrite_children 5


 
Merci pour votre aide.


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
mood
Publicité
Posté le 21-04-2010 à 13:44:27  profilanswer
 

n°1212443
kisscoolz
Posté le 21-04-2010 à 15:18:44  profilanswer
 

Proxy transparent ou configuré en dur dans le navigateur ?

n°1212448
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 15:25:36  profilanswer
 

kisscoolz a écrit :

Proxy transparent ou configuré en dur dans le navigateur ?


En dur dans le navigateur du client.


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212451
kisscoolz
Posté le 21-04-2010 à 15:34:43  profilanswer
 

Tu peux pas du tout allez sur le net ou c'est juste le fait que ca ne passe pas par le cache ?  
 
Parce que je ne vois rien d'anormal dans ta conf.

n°1212454
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 15:39:32  profilanswer
 

kisscoolz a écrit :

Tu peux pas du tout allez sur le net ou c'est juste le fait que ca ne passe pas par le cache ?  
 
Parce que je ne vois rien d'anormal dans ta conf.


Je ne peux pas du tout aller sur le net, d'après mes recherche le TCP_DENIED/403 indique que squid refuse la connexion du client.


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212462
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 16:39:07  profilanswer
 

En lançant /usr/sbin/squid -N -d1 -D
j'ai:
accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 13
 
Mais j'ai pas de eth reglé en 0.0.0.0, ou alors j'ai mal compris son message.


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212465
kisscoolz
Posté le 21-04-2010 à 16:41:18  profilanswer
 

Le poste qui héberge le proxy, il peut aller sur internet ?

n°1212466
kisscoolz
Posté le 21-04-2010 à 16:43:17  profilanswer
 

Tangrim a écrit :

En lançant /usr/sbin/squid -N -d1 -D
j'ai:
accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 13
 
Mais j'ai pas de eth reglé en 0.0.0.0, ou alors j'ai mal compris son message.


 
Ca veut dire qu'il accepte les connexions sur toutes ces interfaces.  
 
Tu peux nous mettre toute la partie debugage jusqu'au moment de la connection avec ton client ?

n°1212467
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 16:49:07  profilanswer
 

kisscoolz a écrit :

Le poste qui héberge le proxy, il peut aller sur internet ?


Oui ^^

kisscoolz a écrit :


 
Ca veut dire qu'il accepte les connexions sur toutes ces interfaces.  
 
Tu peux nous mettre toute la partie debugage jusqu'au moment de la connection avec ton client ?


 
Je cherche à voir comment enregistrer ça dans un fichier texte (je suis en init2 sur la machine qui fait proxy).


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212470
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 17:04:04  profilanswer
 

Code :
  1. debian:~# /usr/sbin/squid -N -d1 -D
  2. 2010/04/21 15:40:41| Starting Squid Cache version 2.7.STABLE3 for i386-debian-linux-gnu...
  3. 2010/04/21 15:40:41| Process ID 2381
  4. 2010/04/21 15:40:41| With 1024 file descriptors available
  5. 2010/04/21 15:40:41| Using epoll for the IO loop
  6. 2010/04/21 15:40:41| DNS Socket created at 0.0.0.0, port 52286, FD 6
  7. 2010/04/21 15:40:41| Adding domain xxxxxxx from /etc/resolv.conf
  8. 2010/04/21 15:40:41| Adding domain xxxxxxx from /etc/resolv.conf
  9. 2010/04/21 15:40:41| Adding nameserver DNS1 from /etc/resolv.conf
  10. 2010/04/21 15:40:41| Adding nameserver DNS2 from /etc/resolv.conf
  11. 2010/04/21 15:40:41| User-Agent logging is disabled.
  12. 2010/04/21 15:40:41| Referer logging is disabled.
  13. 2010/04/21 15:40:41| logfileOpen: opening log /var/log/squid/access.log
  14. 2010/04/21 15:40:41| Unlinkd pipe opened on FD 11
  15. 2010/04/21 15:40:41| Swap maxSize 102400 KB, estimated 7876 objects
  16. 2010/04/21 15:40:41| Target number of buckets: 393
  17. 2010/04/21 15:40:41| Using 8192 Store buckets
  18. 2010/04/21 15:40:41| Max Mem  size: 8192 KB
  19. 2010/04/21 15:40:41| Max Swap size: 102400 KB
  20. 2010/04/21 15:40:41| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
  21. 2010/04/21 15:40:41| logfileOpen: opening log /var/log/squid/store.log
  22. 2010/04/21 15:40:41| Rebuilding storage in /var/spool/squid (CLEAN)
  23. 2010/04/21 15:40:41| Using Least Load store dir selection
  24. 2010/04/21 15:40:41| Set Current Directory to /var/spool/squid
  25. 2010/04/21 15:40:41| Loaded Icons.
  26. 2010/04/21 15:40:41| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 13.
  27. 2010/04/21 15:40:41| Accepting ICP messages at 0.0.0.0, port 3130, FD 14.
  28. 2010/04/21 15:40:41| HTCP Disabled.
  29. 2010/04/21 15:40:41| WCCP Disabled.
  30. 2010/04/21 15:40:41| Ready to serve requests.
  31. 2010/04/21 15:40:41| Done reading /var/spool/squid swaplog (83 entries)
  32. 2010/04/21 15:40:41| Finished rebuilding storage from disk.
  33. 2010/04/21 15:40:41|        83 Entries scanned
  34. 2010/04/21 15:40:41|         0 Invalid entries.
  35. 2010/04/21 15:40:41|         0 With invalid flags.
  36. 2010/04/21 15:40:41|        83 Objects loaded.
  37. 2010/04/21 15:40:41|         0 Objects expired.
  38. 2010/04/21 15:40:41|         0 Objects cancelled.
  39. 2010/04/21 15:40:41|         0 Duplicate URLs purged.
  40. 2010/04/21 15:40:41|         0 Swapfile clashes avoided.
  41. 2010/04/21 15:40:41|   Took 0.4 seconds ( 214.5 objects/sec).
  42. 2010/04/21 15:40:41| Beginning Validation Procedure
  43. 2010/04/21 15:40:41|   Completed Validation Procedure
  44. 2010/04/21 15:40:41|   Validated 83 Entries
  45. 2010/04/21 15:40:41|   store_swap_size = 580k
  46. 2010/04/21 15:40:42| storeLateRelease: released 0 objects
 

Et rien quand je fais une requête avec la machine client, mais le fichier /var/squid/access.log lui ajoute bien une nouvelle entrée.


Message édité par Tangrim le 21-04-2010 à 17:05:05

---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
mood
Publicité
Posté le 21-04-2010 à 17:04:04  profilanswer
 

n°1212474
kisscoolz
Posté le 21-04-2010 à 17:09:23  profilanswer
 

Juste pour etre sur, tu le configure comment le navigateur ?

n°1212511
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 19:26:16  profilanswer
 

Édition, préférence, avancé, onglet réseau
paramètres
je coche: configuration manuelle du proxy
10.10.101.100 port 3128


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212521
kisscoolz
Posté le 21-04-2010 à 21:04:39  profilanswer
 

Est ce que tu peux tester sans squid si l'acces au net est ok ?

n°1212524
Tangrim
Des bisous et des nounours !
Posté le 21-04-2010 à 22:21:23  profilanswer
 

Le client ne peux pas avoir accès au net sans squid, il est relié juste derrière le proxy. Du coté du proxy je peux avoir accès au net.


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212638
kisscoolz
Posté le 22-04-2010 à 12:53:43  profilanswer
 

La du coup je vois pas, je dois avouer que je seche.
 
 C'est toi qui l'administre le proxy ? C'est ce même serveur qui te sert de passerelle ?

n°1212680
Tangrim
Des bisous et des nounours !
Posté le 22-04-2010 à 14:50:34  profilanswer
 

kisscoolz a écrit :

La du coup je vois pas, je dois avouer que je seche.
 
 C'est toi qui l'administre le proxy ? C'est ce même serveur qui te sert de passerelle ?


Oui, c'est une debian avec 2 interfaces, une vers l'extérieur et une vers le client (en fait y en a une 3ème vers un autre sous réseau mais ça n'a rien à voir dans notre cas).


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212684
kisscoolz
Posté le 22-04-2010 à 15:27:58  profilanswer
 

Est ce que tu peux, juste pour le test, autoriser l'accès au net sans obliger le passage par le proxy ? Ca permettra d'éliminer la possibilité où ca viendrait de la passerelle.
 
Ca ne devrait pas avoir de lien mais l'ip forwarding est bien actif sur le serveur ?
 
Est ce que tu peux essayer de créer une acl juste pour ton client et l'a rajouté avant la règle pour ton réseau ?

n°1212699
Tangrim
Des bisous et des nounours !
Posté le 22-04-2010 à 17:09:17  profilanswer
 

kisscoolz a écrit :

Est ce que tu peux, juste pour le test, autoriser l'accès au net sans obliger le passage par le proxy ? Ca permettra d'éliminer la possibilité où ca viendrait de la passerelle.
 
Ca ne devrait pas avoir de lien mais l'ip forwarding est bien actif sur le serveur ?
 
Est ce que tu peux essayer de créer une acl juste pour ton client et l'a rajouté avant la règle pour ton réseau ?


Le forwarding est bien activé, par contre je ne sais pas comment faire pour autoriser l'accès au net sans passer par le proxy, il s'agit de deux machines virtuelles.


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212703
kisscoolz
Posté le 22-04-2010 à 18:30:48  profilanswer
 

Ah mais si tu nous dis pas tout dés le début, on va pas s'en sortir.  
 
Décris nous exactement ton réseau.

n°1212709
Tangrim
Des bisous et des nounours !
Posté le 22-04-2010 à 19:33:17  profilanswer
 

Une VM (le proxy) avec une interface reliée vers le net (dhcp), une interface 10.10.100.100 vers une VM admin(10.10.100.10) , et une en 10.10.101.100 vers une VM client (10.10.101.10).  
La machine ne sert qu'à administrer le proxy (c'est une maquette, en vrai je me met directement sur le proxy).
Et avec le poste client je souhaite me connecter à internet, et ensuite je ferais mes règles avec squidGuard, iptables et consorts.
Les pings marchent de partout vers partout. Sur la machine admin j'arrive à me connecter sur webmin (et les modifs sont enregistrées dans le squid.conf quand j'essaie).
Les pings sur le lan fonctionnent dans tous les sens (admin vers proxyn admin vers client, etc.
 


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212711
kisscoolz
Posté le 22-04-2010 à 19:43:55  profilanswer
 

Quel type d'interface pour tes vm ? bridge/nat/etc ...

n°1212725
fighting_f​alcon
Posté le 22-04-2010 à 20:52:35  profilanswer
 

fait voir les routes sur ton proxy :

Citation :

# route -n


 
parce que 10.10.100.100 et 10.10.101.100 pour avoir après dans la conf de squid 10.10.0.0/16 ça me parait louche ...

n°1212744
Tangrim
Des bisous et des nounours !
Posté le 22-04-2010 à 22:02:23  profilanswer
 

Bridge pour l'extérieur et host only pour tout le reste du lan.

 

debian:~# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.10.101.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
10.10.100.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.142.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.142.2   0.0.0.0         UG    0      0        0 eth0


Message édité par Tangrim le 22-04-2010 à 22:04:53

---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212746
kisscoolz
Posté le 22-04-2010 à 22:11:32  profilanswer
 

kisscoolz a écrit :

Est ce que tu peux essayer de créer une acl juste pour ton client et l'a rajouté avant la règle pour ton réseau ?


 
T'as essayé ?

n°1212752
Tangrim
Des bisous et des nounours !
Posté le 22-04-2010 à 22:20:28  profilanswer
 
n°1212792
fighting_f​alcon
Posté le 23-04-2010 à 09:27:22  profilanswer
 

wireshark est ton ami, je ne vois plus que ça ...

n°1212801
Tangrim
Des bisous et des nounours !
Posté le 23-04-2010 à 09:51:01  profilanswer
 

C'est une machine sans serveur X, de toute façon je laisse ça de coté pour le moment.
 
En tout cas je vous remercie beaucoup d'avoir pris un peu de temps pour m'aider :)


---------------
Des Bisous et des nounours ! | Internet 2025 | Dungeon-Generator
n°1212809
kisscoolz
Posté le 23-04-2010 à 10:20:39  profilanswer
 

A défaut d'utiliser wireshark, tu peux utiliser tcpdump qui fonctionne en mode texte.  
 
En tous cas, je n'ai plus d'idée moi.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  squid.conf, TCP_DENIED/403

 

Sujets relatifs
Graphique excel pour log squid[Squid] Lenteur sur un proxy parent
Squid demarre en combien de temps chez vous ??Compatibilité Squid et Webmin sur Ubuntu 9.04
[résolu] PFSense + Squid config des allowed_subnets ?[MDV]installer une tablette graphique( xorg.conf et xorg.0.log inside)
[squid] Perte de paquets marqués invalidesLecture d'un fichier de conf RDP : des caractères étranges
Port à la fois TCP et UDP sur freebox (droit de réponse)Port à la fois TCP et UDP sur freebox
Plus de sujets relatifs à : squid.conf, TCP_DENIED/403


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR