Problemas com Squid 2.6

[ricardodru]

Senhores

Estou tendo problemas com squid 2.6

No servidor que eu administro, formatei e instalei o fedora 7.9, e o squid 2.6 ESTABLE 14.1.

configurei o proxy transparente, e esta funcionando tranquilo.
mas por curiosidade, fui numa maquina cliente, e fiz um teste, percebendo que o squid nao esta bloqueando nada sobre as regras ACL que eu coloquei no squid.conf.

Nenhum tipo de bloqueio esta sendo feito, esta tudo liberado, como se o squid estivesse configurado apenas pra cache.

Para minha surpresa, o arquivo /var/log/squid/access.log esta vazio !
As maquinas clientes estao navegando normalmente, mas nao esta sendo gravado nada no access.log.

No arquivo cache.log, ele esta registrando normal. Mas tbem nao vi nada de errado.

Fui verificar o squid.conf. esta normal, pois eu ja usava antes de atualizar o fedora para a versao 7.9.

Estes comandos abaixo nao estao dando nenhum resultado, aparentando que eles nao funcionam

squid -k reconfigure
squid --help
squid -z

Nao sei o que esta acontecendo !
Talvez mudou alguma coisa a partir da versao 2.6

Ao executar o comando service squid status, o resultado diz que ele esta funcionando !

Desinstalei o pacote do squid, e instalei uma versao mais atualizada 2.6 ESTABLE 16.1, mas o problema continua !
Ja verifiquei as permissoes das pastas e arquivos, e estao corretas (usuario squid e grupo squid).

Alguem sabe me dizer o que esta acontecendo ?
_________________
Atenciosamente

Ricardo

[RicardoPerin]

Como vc configurou o seu proxy transparente? Vc está usando iptables para fazer o redirecionamento das requisições http?

[ricardodru]

Como vc configurou o seu proxy transparente? Vc está usando iptables para fazer o redirecionamento das requisições http?

Antes de formatar o HD, eu fiz backp do meu rc.firewall e das regras do squid e o squid.conf.
Eu estava usando o fedora 3. E estava tudo perfeito.
As regras de firewall continua a mesma coisa, e tbem direcionando o trafego da porta 80 para a 3128.

Para o proxy transparente, coloquei a palavra transparent ficando assim:
http_port 3128 transparent

O squid nao esta bloqueando nada, nem URL e nem download.

[RicardoPerin]

se nenhum log está sendo gerado e o squid está up, é pq nenhuma requisição está chegando pra ele. Verifica seu firewall por alguma regra que redirecione as requisições da porta 80 para a 3128....vc deve ter copiado as configurações mas não alterou algum endereço, provavelmente é isso...

[ricardodru]

se nenhum log está sendo gerado e o squid está up, é pq nenhuma requisição está chegando pra ele. Verifica seu firewall por alguma regra que redirecione as requisições da porta 80 para a 3128....vc deve ter copiado as configurações mas não alterou algum endereço, provavelmente é isso...

Eu estou muito confuso.

Acabei de fazer um teste. desliguei o squid, e os clientes windows perderam as conexoes. dei um UP no squid e tudo voltou ao normal.

Conferi o firewall, e o masquerade esta sendo feito apenas para o meu IP. O restante da rede esta navegando por proxy transparente.

Sim, eu copiei o script de firewall. O que eu nao entendi é quando tu disse que eu copiei as configurações mas nao alterei nenhum endereço.

Por exemplo: as listas de URL's bloqueadas, continua na mesma pasta.

Me indique algum exemplo

[ricardodru]

Acabei de fazer o seguinte teste,

fui conferir o firewall, e vi esta linha antes da regra que direciona a porta 80 para 3128

iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.100/255.255.255.0 -p tcp --dport 80 -o eth0

O ip 10.11.0.100 é o da minha maquina pessoal.

Apos comentar esta linha, a internet parou de funcionar para todos os clientes.

O seu comentario esta correto. o squid esta em up, e nao tem log. Mas é claro, todo o trafego estava sendo direcionado antes de ser direcionado para a porta 3128 do squid.
O squid nao estava recebendo nenhuma requisição.

Dai comentei a linha, mas agora sabemos que tem algo de errado com o squid.
As maquinas nao estao navegando.

Segue abaixo, o log gerado em /var/log/squid/cache.log, quando eu inicio o squid:

--------------------------------------------------------------------------------------
2007/09/17 16:08:07| Starting Squid Cache version 2.6.STABLE16 for i386-redhat-linux-gnu...
2007/09/17 16:08:07| Process ID 5779
2007/09/17 16:08:07| With 1024 file descriptors available
2007/09/17 16:08:07| Using epoll for the IO loop
2007/09/17 16:08:07| DNS Socket created at 0.0.0.0, port 32821, FD 5
2007/09/17 16:08:07| Adding nameserver 201.10.1.2 from squid.conf
2007/09/17 16:08:07| Adding nameserver 201.10.120.3 from squid.conf
2007/09/17 16:08:07| User-Agent logging is disabled.
2007/09/17 16:08:07| Referer logging is disabled.
2007/09/17 16:08:07| Unlinkd pipe opened on FD 10
2007/09/17 16:08:07| Swap maxSize 5120000 KB, estimated 393846 objects
2007/09/17 16:08:07| Target number of buckets: 19692
2007/09/17 16:08:07| Using 32768 Store buckets
2007/09/17 16:08:07| Max Mem size: 131072 KB
2007/09/17 16:08:07| Max Swap size: 5120000 KB
2007/09/17 16:08:07| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2007/09/17 16:08:07| Rebuilding storage in /var/spool/squid (CLEAN)
2007/09/17 16:08:07| Using Least Load store dir selection
2007/09/17 16:08:07| Current Directory is /
2007/09/17 16:08:07| Loaded Icons.
2007/09/17 16:08:07| Accepting transparently proxied HTTP connections at 0.0.0.0, port 3128, FD 12.
2007/09/17 16:08:07| WCCP Disabled.
2007/09/17 16:08:07| Ready to serve requests.
2007/09/17 16:08:07| Done reading /var/spool/squid swaplog (0 entries)
2007/09/17 16:08:07| Finished rebuilding storage from disk.
2007/09/17 16:08:07| 0 Entries scanned
2007/09/17 16:08:07| 0 Invalid entries.
2007/09/17 16:08:07| 0 With invalid flags.
2007/09/17 16:08:07| 0 Objects loaded.
2007/09/17 16:08:07| 0 Objects expired.
2007/09/17 16:08:07| 0 Objects cancelled.
2007/09/17 16:08:07| 0 Duplicate URLs purged.
2007/09/17 16:08:07| 0 Swapfile clashes avoided.
2007/09/17 16:08:07| Took 0.4 seconds ( 0.0 objects/sec).
2007/09/17 16:08:07| Beginning Validation Procedure
2007/09/17 16:08:07| Completed Validation Procedure
2007/09/17 16:08:07| Validated 0 Entries
2007/09/17 16:08:07| store_swap_size = 0k
2007/09/17 16:08:08| storeLateRelease: released 0 objects
---------------------------------------------------------------------------------------

Agora preciso descobrir porque o squid nao esta compartilhando a net com os clientes.

[ricardodru]

se nenhum log está sendo gerado e o squid está up, é pq nenhuma requisição está chegando pra ele. Verifica seu firewall por alguma regra que redirecione as requisições da porta 80 para a 3128....vc deve ter copiado as configurações mas não alterou algum endereço, provavelmente é isso...

Fiz este outro teste,

Ao retirar esta linha do firewall,
iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.100/255.255.255.0 -p tcp --dport 80 -o eth0
Os clientes windows param de navegar. Isto quer dizer que o squid nao esta compartilhando a net.

Experimentei trocar a porta 3128 pela 8080, tanto no squid.conf como firewall, mas nao funcionou.
Olhei o log do squid, e nada, ta zerado, indicando que realmente ele nao esta fazendo nada.

Vou encerrar meus testes por hoje. amanha eu volto a tentar.

Caso alguem ja passou por isso, ficarei grato pela ajuda de todos !!

[ricardodru]

Senhores

Quando fui instalar o fedora 7.9, a instalacao grafica pelo anaconda, estava dando erro, quando iria selecionar os pacotes.
Entao resolvi instalar em modo texto, e consegui.
Mas a opcao de desabilitar (nao instalar) o SElinux, nao aparecia em modo texto.

O SElinux foi instalado e ativo na instalação.

Desativei o SElinux alterando o arquivo de configuracao em /etc/selinux

Mas o que aparenta, é que o trafego que deveria ir para a porta 3128 do squid, nao esta funcionando, tem algo bloqueando o trafego.

Alguem tem alguma ideia do que seja ?

[RicardoPerin]

Insere essa regra aqui antes de qualquer regra de bloqueio e vamos ver o que acontece:

iptables -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT --to-port 3128

[ricardodru]

Prezado RicardoPerin

Apos colocar a regra

iptables -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT --to-port 3128

Funcionou na hora !!
Os logs começaram a surgir em no arquivo access.log !

Interessante que esta regra nao tinha, mas quando estava instalado o fedora 3, estava rodando tranquilo.

E outra coisa interessante, que agora até o comando squid -k reconfigure, squid -z, squid --help estao todos funcionando !!!

Muito obrigado RicardoPerin, pela ajuda !!

Abraços